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Kurzfassung 


Organisationen müssen bzw. wollen Datenschutz und Vertraulichkeit als spezielle 
Anforderungen der IKT-Sicherheit gewährleisten. Es ist sinnvoll, Datenschutz und 
Vertraulichkeit nicht nur rein technisch zu betrachten, sondern diese bereits frühzei- 
tig beim Entwurf von Geschäftsprozessen zu berücksichtigen, weil Informationen in 
Unternehmen typischerweise während der Ausführung von Geschäftsprozessen er- 


hoben und verarbeitet werden. 


Um Prozessmodellierer und -verantwortliche dabei zu unterstützen, wurden als gra- 
phisches Darstellungsmittel Informationsvertraulichkeits- und Datenschutz-Netze 
entwickelt. Diese erweiterten Petri-Netze ermöglichen es, Vertraulichkeit und As- 
pekte des Datenschutzes innerhalb von Geschäftsprozessmodellen systematisch zu 
betrachten. Dazu wird die Geschäftsprozesssicht insbesondere mit der Organisati- 
onsstruktursicht und der Datenstruktursicht zu einer integrierten Modellsicht ver- 
knüpft. Vertraulichkeit wird im Zusammenhang mit den an der 
Geschäftsprozessausführung beteiligten Ressourcen (Organisationsstruktur) und 
den zur Ausführung benötigten Daten (Datenstruktur) in Informationsvertraulich- 
keits- und Datenschutz-Netzen entweder klassen- oder rollenbasiert betrachtet. 
Zweckbindung und Datenminimierung als spezielle Aspekte des Datenschutzes kön- 
nen mittels der Informationsvertraulichkeits- und Datenschutz-Netze ebenfalls be- 
schrieben werden. Informationsvertraulichkeits- und Datenschutz-Netze wurden so 
definiert, dass Simulations- und Analysemethoden von traditionellen Petri-Netzen 
angewandt beziehungsweise übertragen werden können. So können Aussagen ge- 
troffen werden, wie sich bestimmte Anforderungen der Vertraulichkeit beziehungs- 


weise des Datenschutzes auf Geschäftsprozesse und ihre Ausführung auswirken. 


Um die Anwendung zu unterstützen, wird die neue PriCcon4BPM-Methode (Privacy & 
Confidentiality for Business Process Management) vorgeschlagen. Dabei werden die 


Schritte zur Erstellung der Informationsvertraulichkeits- und Datenschutz-Netze de- 


iii 


Kurzfassung 


tailliert beschrieben. Zusätzlich wird eine durchgängige Vorgehensweise von der Mo- 
dellierung bis zur Entscheidung (beispielsweise bezüglich Prozessalternativen) vor- 


gestellt. 
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1 Einleitung 


In diesem Kapitel werden zunächst die Ausgangssituation und die Motivation für die 
vorliegende Arbeit erläutert. Es folgt eine Beschreibung der Zielsetzung und des Auf- 


baus der Arbeit. 


1.1 Ausgangssituation 


Effektive und effiziente Geschäftsprozesse sind ein wesentlicher Erfolgsfaktor für die 
Wertschöpfung in Unternehmen. Dabei wird eine besonders hohe Effektivität, also 
eine hohe Quote der Erreichung des tatsächlichen Zieles, in der Regel vorausgesetzt. 
Prozessverantwortliche und -designer müssen beispielsweise aufgrund des zuneh- 
menden Wettbewerbsdrucks oder aufgrund steigender Renditeerwartungen zusätz- 
lich aber immer weitere Effizienzsteigerungen erreichen. Das heißt, der Aufwand, der 
zur Zielerreichung erbracht wird, muss in der Regel ohne Beeinträchtigung der Effek- 
tivität reduziert werden. Effizienzsteigerungen werden durch die Gestaltung voll- 
ständig neuer Prozesse und die kontinuierliche Verbesserung vorhandener Prozesse 


erreicht. 


Gleichzeitig nimmt die Bedeutung von Sicherheit für Unternehmen weiter zu (Bun- 
desdruckerei & Kantar Emnid, 2017). Sicherheit umfasst im Kontext von Prozessen 
zunehmend mehr Aspekte. Typische Beispiele sind die Einhaltung der Vorschriften 
des Arbeits- und Umweltschutzes sowie vorhandener Prozessregeln (zum Beispiel 
Vieraugenprinzip). Eine weitere wichtige Anforderung ist, dass Unternehmensge- 
heimnisse sowie Kunden- und Mitarbeiterdaten geschützt werden und deren Integri- 
tät sichergestellt wird. Mittlerweile muss nicht nur von einer theoretischen 
Gefährdung ausgegangen werden. Das Interesse von Dritten an diesen Informationen 
ist real, und ihre technischen Möglichkeiten sind enorm. Dabei werden Unternehmen 


nicht nur mit kriminellen Einzelabsichten (zum Beispiel Identitätsdiebstahl, Berei- 
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cherung mittels Kreditkartendaten), sondern auch zur Erreichung von Wettbewerbs- 
vorteilen und zur Stärkung von Verhandlungspositionen (Industriespionage) ange- 
griffen. Hinsichtlich der Globalisierung von Informationen können Unternehmen 
nicht mehr davon ausgehen, dass ein einzelner Rechtsstaat ihre Informationen aus- 
reichend durch Gesetze und Strafverfolgung schützen kann. Die Verantwortung liegt 
folglich im Unternehmen selbst. Auch die Zuverlässigkeit der Prozesse, beispiels- 
weise die zeitgerechte Bereitstellung von Ergebnissen, ist von großer Bedeutung. 
Aufgrund der zunehmenden Verbreitung von Lean-Methoden und speziell des Just- 
in-time-Prinzips werden Puffer abgebaut und die Auswirkungen von möglichen Pro- 
zessstörungen in vielen Fällen vergrößert (vgl. Tortorella, Miorando & Marodin, 
2017). Es wird also erwartet, dass effektive und effiziente Prozesse zusätzlich auch 
sicher sind, damit die Zukunftsfähigkeit des Unternehmens und seiner Wertschöp- 


fung nicht unbeabsichtigt Gefahren ausgesetzt ist. 


Ein potenzielles Angriffsziel ist die im Rahmen der Prozessausführung verwendete 
Informations- und Kommunikationstechnologie (IKT) - unabhängig davon, ob sie 
vom Unternehmen selbst betrieben oder von Dienstleistern bereitgestellt wird. Oft 
wird daher gefordert, die IKT solle maximal beziehungsweise best möglich sicher sein 
(Weppler, 2016). Dadurch wird die Verantwortung an die Unternehmens-IT dele- 
giert, die diese Aufgabe zumeist losgelöst von den eigentlichen Wertschöpfungspro- 
zessen erfüllt. Zum Nachweis der Sicherheit beziehungsweise der Bemühungen 
darum erwerben Unternehmen in der Regel verschiedene Zertifikate (zum Beispiel 
nach ISO 27001). Das Paradigma, die Sicherheit der eingesetzten IT isoliert von den 
Prozessen zu betrachten und ein möglichst hohes Schutzniveau zu fordern, ist gegen- 
wärtig ein gängiger Ansatz, um die beschriebenen Forderungen umzusetzen bezie- 
hungsweise den erwähnten Gefahren zu begegnen (vgl. Sowa, 2017). Durch 
unternehmensübergreifende Leistungserbringung und die zunehmende Integration 
von mobilen Endgeräten wird dies jedoch zu einer immer komplexeren Aufgabe und 
einem wachsenden Kostenfaktor für die Unternehmen. Die Kosten, die im Rahmen 


der Absicherung der Geschäftsprozesse anfallen, beeinflussen auch die Kosten der 


1.1 Ausgangssituation 


Wertschöpfungsprozesse und müssen auf diese umgelegt werden. Somit wird auch 


die Effizienz der Prozesse davon beeinflusst. 


Auch die Auswirkungen des Datenschutzes auf Geschäftsprozesse haben zugenom- 
men. Unternehmen sind durch die Europäische Datenschutzgrundverordnung (EU- 
DSGVO) und insbesondere durch die darin festgelegten möglichen Sanktionen für Da- 
tenschutz aktuell besonders sensibel. Dabei stehen sie im Spannungsfeld zwischen 
der betroffenenfreundlichen, minimal notwendigen Datenverarbeitung (im Idealfall 
ausschließlich, soweit es notwendig ist, um Verträge mit dem Betroffenen zu erfüllen) 
und einem wirtschaftlichen Wert von möglichst vielen personenbezogenen Daten - 
wobei eine datenschutzkonforme Monetisierung für neue Marktteilnehmer eine Her- 
ausforderung darstellt (vgl. Leutheusser-Schnarrenberger, 2016). Da „Organisatio- 
nen, die mit personenbezogenen Daten arbeiten, [...] die ihnen anvertrauten 
Informationen häufig gern weitaus intensiver nutzen [würden], als sie es aus daten- 
schutzrechtlichen Gründen dürfen [...] erscheint Datenschutz [...] auch aus wirt- 
schaftlicher Sicht häufig als ‚Sand im Getriebe“ (<kes>, 2018 S. 49). Andererseits sind 
auch besonders datenschutzfreundliche Dienstleister für bestimmte Kunden (Privat- 
personen und andere Unternehmen) attraktiv, sodass auch daraus ein Wettbewerbs- 
vorteil entstehen kann. Hierzu muss jedoch künftig ein signifikanter Anteil der 
potenziellen Kunden für das Thema Datenschutz sensibilisiert sein (Appl u. a., 2017). 
In jedem Fall muss Datenschutz beim Entwurf von Geschäftsprozessen beachtet wer- 


den, wenn diese personenbezogene Daten verarbeiten. 


Durch die isolierte Wahrnehmung der Aufgaben (Prozessverantwortung/-design und 
IKT-Sicherheit sowie Datenschutz) wird einerseits eine höhere Spezialisierung und 
damit eine hohe Effizienz der Teilaufgaben erreicht, andererseits verlieren die betei- 
ligten Spezialisten das Bewusstsein für die Auswirkungen ihrer Entscheidungen auf 
die jeweils andere Aufgabe. B. Weßelmann und J. Wiele beschreiben die Situation in 
vielen Organisationen wie folgt: „Manchmal behindern sich die beiden Fachabteilun- 


gen [Datenschutz und Security] gegenseitig bei ihren Projekten, manchmal wird die 
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Blockade des einen sogar zum ‚Showstopper‘ für die Bemühungen des anderen“ 


(<kes>, 2018, S. 48). 


Wenn Fragestellungen der Sicherheit und im Speziellen der IKT-Sicherheit und Fra- 
gestellungen des Datenschutzes bereits bei der Gestaltung der Prozesse berücksich- 
tigt werden, können Designalternativen auch hinsichtlich ihrer Sicherheitsrisiken 
beziehungsweise -kosten und der Datenschutzkonformität beziehungsweise -freund- 
lichkeit bewertet werden. Zudem kann differenzierter betrachtet werden, welche Si- 
cherheitsanforderungen beziehungsweise Datenschutzanforderungen für welche 
Prozessschritte und Objekte überhaupt relevant sind. Maßnahmen der IKT-Sicherheit 
und des Datenschutzes können somit gezielter erfolgen. Eine integrierte Betrachtung 
ist folglich wirtschaftlich sinnvoll, sofern Maßnahmen durch geeignete Verfahren und 


Werkzeuge unterstützt und daher ermöglicht werden. 


1.2 Zielsetzung der Arbeit 


Das Ziel der vorliegenden Arbeit ist es, eine modellbasierte Entscheidungsunterstüt- 
zung zur Planung und Umsetzung von IKT-Sicherheit und Datenschutz in Geschäfts- 
prozessen zu realisieren. Beide Bereiche zu betrachten liegt nahe, weil IKT-Sicherheit 


die Einhaltung des Datenschutzes fördert (vgl. Zeuner, 2016). 


Da dies beides weitere Themenfelder sind, soll die vorliegende Arbeit auf den Aspekt 
Informationsvertraulichkeit der IKT-Sicherheit und auf die Grundsätze Zweckbin- 
dung und Datenminimierung des Datenschutzes fokussieren. Dabei soll nicht das Ziel 
maximaler Sicherheit im Blickpunkt stehen, sondern es soll ein wirtschaftlicher, d.h. 
angemessene Sicherheitsgrad erreicht werden. Bezüglich des Datenschutzes sollen 
Verantwortliche unterstützt werden, datenschutzfreundliche und datenschutz- 


rechtskonforme Geschäftsprozesse zu entwerfen. 


Teilziele sind eine formalisierte Modellierung der Informationsvertraulichkeits- so- 
wie Zweckbindungsanforderungen und eine systematische, modellbasierte Betrach- 


tung des Datenminimierungsprinzips. 


1.2 Zielsetzung der Arbeit 


Im Hinblick auf die Informationsvertraulichkeit bedeutet dies, dass es zunächst er- 
möglicht werden muss, Anforderungen der Informationsvertraulichkeit in die Pro- 
zessmodellierung zu integrieren, damit Prozessverantwortliche und -designer die 
Anforderungen dermaßen gestalten können, dass sie den Notwendigkeiten einzelner 
Prozesse und Prozessschritte entsprechen. Da Anforderungen bezüglich der Vertrau- 
lichkeit oft mit einzelnen Informationsobjekten zusammenhängen, muss auch eine 
Verknüpfung zwischen Anforderung und Informationsobjekt möglich sein. Durch die 
integrierte Modellierung sollen die Anforderungen für alle Beteiligten transparent 
werden. Somit wird der Austausch über diese Anforderungen ermöglicht und geför- 
dert. Die Möglichkeit der informationsobjektzentrierten Modellierung der Sicher- 
heitsanforderungen erleichtert den Beteiligten das Verständnis, weil es den aufgrund 
der bisherigen Umsetzungstechniken vorhandenen Denkmustern bezüglich Vertrau- 


lichkeit entspricht. 


Hinsichtlich des Datenschutzes werden die Grundsätze Zweckbindung und Datenmi- 
nimierung betrachtet. Dabei muss es Prozess- und Datenschutzverantwortlichen er- 
möglicht werden, die Auswirkungen des Geschäftsprozesses auf die Daten von 
natürlichen Personen zu betrachten. Hier kann es ein Ziel sein, einen möglichst da- 
tenschutzfreundlichen Geschäftsprozess zu schaffen, der beispielsweise durch beson- 
ders datensparsame Prozessschritte über regulatorische Vorgaben hinausgeht. Dazu 
muss aber mindestens ein datenschutzrechtlich konformer Geschäftsprozess erstellt 


werden. 


Die formalisierte Modellierung der Anforderungen ist zudem eine notwendige Grund- 
lage für eine weitere systematische Betrachtung. Dazu müssen Analyse- und Simula- 
tionsverfahren bereitgestellt werden, welche die Auswirkungen der Anforderungen 
auf den Prozess aufdecken und beschreiben. Dabei sind auch Wechselwirkungen zwi- 
schen verschiedenen, sich gegenseitig beeinflussenden Anforderungen zu berück- 
sichtigen. Relevante Fragestellungen betreffen beispielsweise die Ausführbarkeit des 
Prozesses oder die Notwendigkeit der verwendeten Daten für einzelne Akteure be- 


ziehungsweise Aktionen. 
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Darüber hinaus benötigen Prozessverantwortliche und -modellierer methodische 
Unterstützung zur strukturierten Betrachtung von Informationsvertraulichkeit, 
Zweckbindung und Datenschutz im Rahmen des Geschäftsprozessdesigns. Dabei bil- 
den, wie schon erörtert, die drei Anforderungsbereiche nur Teile der größeren Berei- 
che IKT-Sicherheit und Datenschutz ab. Sprache und Methode sollten später also 


hinsichtlich weiterer Bereiche erweitert werden können. 


Über die Beschränkung dieser Arbeit auf die drei Anforderungsbereiche hinaus müs- 
sen weitere Einschränkungen vorgenommen werden. Beispielsweise werden physi- 
sche Gefahren, wie ein möglicher Diebstahl von Datenträgern nach Einbruch in ein 
Rechenzentrum, nicht betrachtet. Genauso wenig wird die technische Umsetzung der 
Geschäftsprozesse, das heißt ihre Implementierung, untersucht. Der Ansatz bleibt auf 
der Ebene des Geschäftsprozessentwurfs und istan Prozessverantwortliche und -mo- 
dellierer gerichtet, welche Informationsvertraulichkeit und Datenschutz umsetzen 


möchten. 


1.3 Aufbau der Arbeit 


Die vorliegende Arbeit ist wie folgt strukturiert: 


Das nachfolgende zweite Kapitel befasst sich mit Sicherheitsanforderungen in Orga- 
nisationen. Hierzu wird zunächst der Begriff „Sicherheit" näher untersucht. Es wer- 
den sogenannte Schutzziele aus der Literatur beschrieben und kategorisiert. Darauf 
aufbauend werden 47 elementare Bedrohungen den fünf Hauptschutzzielen Vertrau- 
lichkeit, Integrität, Verfügbarkeit, Zurechenbarkeit und Rechtsverbindlichkeit zuge- 
ordnet. Anschließend wird das Schutzziel der Vertraulichkeit näher betrachtet und 
das Teilziel der Informationsvertraulichkeit, also des Schutzes der Informationsin- 
halte, herausgearbeitet. Im weiteren Verlauf der vorliegenden Arbeit wird dann be- 
züglich der Schutzziele der Informationssicherheit auf das Schutzziel 
Informationsvertraulichkeit fokussiert. Das Kapitel schließt mit Grundlagen zur Si- 


cherheitsökonomie. 


1.3 Aufbau der Arbeit 


Das dritte Kapitel widmet sich den Grundlagen des Datenschutzes. Weil die aktuelle 
Rechtsgrundlage relativ neu und somit ihre Auslegung noch nicht in allen Bereichen 
klar ist, wird zunächst die Geschichte des Datenschutzrechtes betrachtet, bevor dann 
die Bedeutung des Datenschutzes für die Gesellschaft herausgearbeitet wird. Im An- 
schluss werden der Anwendungsbereich und die neun Grundsätze der Europäischen 
Datenschutz-Grundverordnung erläutert. Dabei wird im Abschnitt Rechtmäßigkeit 
auch definiert, was personenbezogene Daten sind, bevor mit Zweckbindung und Da- 
tenminimierung auch die für die vorliegende Arbeit besonders wichtigen Grundsätze 


erörtert werden. 


Nachdem in den beiden vorangehenden Kapiteln die fachlichen Grundlagen für die 
Erweiterung einer Modellierungssprache gelegt wurden, werden im vierten Kapitel 
die methodischen und sprachlichen Grundlagen der Unternehmensmodellierung cha- 
rakterisiert. Hierzu werden die Begriffe „Modell“ und „Modellierung“ definiert, und 
es wird ausgeführt, welche verschiedenen Sichten es auf ein Unternehmen geben 
kann. Im Anschluss wird die Geschäftsprozesssicht als eine verhaltensbezogene Sicht 
auf ein Unternehmen dargestellt, bevor die Modellierungssprache Petri-Netze vorge- 
stellt wird. Darauf aufbauend werden Workflow-Netze (eine Teilmenge von Petri- 


Netzen) sowie Analysemethoden für Petri-Netze vorgestellt. 


Im fünften Kapitel werden Informationsvertraulichkeits- und Datenschutz-Netze dar- 
gestellt. Das Kapitel istin drei Unterkapitel aufgeteilt. Im ersten Unterkapitel wird die 
Informationsvertraulichkeit betrachtet. Zunächst wird eine Erweiterung von höhe- 
ren Petri-Netzen zur Modellierung von klassenbasierter Informationsvertraulichkeit 
beschrieben. Hierzu wird zunächst das klassenbasierte Informationsvertraulichkeits- 
Netz definiert, bevor anschließend Markierung, Vertrauenswürdigkeit einer Transi- 
tion und Vertraulichkeit einer Stelle erläutert werden. Darauf aufbauend wird dann 
die Schaltregel erörtert. Für die rollenbasierte Informationsvertraulichkeit wird eine 
entsprechende Erweiterung beschrieben. Im zweiten Unterkapitel wird für den Da- 
tenschutzgrundsatz Zweckbindung eine Erweiterung veranschaulicht. Der Ansatz er- 


möglicht es, mit speziellen Transitionen erlaubte Verarbeitungszwecke mit 
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Informationsobjekten zu verknüpfen. Anschließend werden zusätzliche Bedingungen 
für das Schalten von Transitionen eingeführt, welche zur Laufzeit die Zweckbindung 
überwachen. Für den Grundsatz der Datenminimierung wird eine Möglichkeit vorge- 
stellt, Transitionen so zu annotieren, dass später untersucht werden kann, welche Da- 
ten minimal benötigt werden. Im dritten Unterkapitel werden die verschiedenen 
Spracherweiterungen zu Informationsvertraulichkeits- und Datenschutz-Netzen zu- 


sammengeführt. 


Das sechste Kapitel beschreibt, wie mittels der vorgestellten Spracherweiterung mo- 
dellierte Prozesse analysiert beziehungsweise simuliert werden können. Hierzu wer- 
den zunächst die Fragestellungen aufgelistet, welche mithilfe einer systematischen 
Analyse der Modelle beantwortet werden sollen. Im Anschluss daran werden die Si- 
mulationsstrategie für Informationsvertraulichkeits- und Datenschutz-Netze festge- 
legt und das Simulationsverfahren schrittweise erläutert. Damit sowohl die 
Simulationsparameter als auch die Simulationsergebnisse strukturiert und auswert- 
bar festgehalten werden können, wird ein XML-Dialekt als Sprache für das Simulati- 
onsprotokoll artikuliert. Das Kapitel schließt mit einer Beschreibung, wie die zu 
Beginn des Kapitels aufgelisteten Fragen mithilfe der Simulation beantwortet werden 


können. 


Im siebten Kapitel wird die PriCcon4BPM-Methode erklärt. Dazu wird zunächst der 
BPM-LifeCycle erörtert, um anschließend die neue Methode einordnen zu können. 
Diese wird dann im zweiten Unterkapitel vorgestellt. Hierzu werden zunächst die Ak- 
tivitäten der Methode definiert, und für einige Aktivitäten werden Techniken bereit- 
gestellt. Die Aktivitäten werden hierauf in ein Vorgehensmodell eingeordnet. 
Schließlich werden die Ergebnisartefakte beschrieben. In der vorliegenden Arbeit 
wurden dafür teils eigene Sprachen entwickelt. Ein Anwendungsbeispiel beschließt 


das Kapitel und hilft beim weiteren Verständnis der Methode. 


Im achten Kapitel wird die Pricon4BPM-Methode in die Literatur eingeordnet. Zu die- 
sem Zweck werden zunächst die Anforderungen aus der Einleitung präzisiert und 


dann die Erfüllung der Anforderungen von PriCon4BPM mit anderen Ansätzen aus 
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der Literatur verglichen. Hierzu wird auf eine bereits publizierte Literaturrecherche 
zurückgegriffen. Letztlich wird die Anwendbarkeit der Methode anhand verschiede- 


ner Beispiele aufgezeigt. 


Das neunte Kapitel enthält eine Zusammenfassung der Ergebnisse der vorigen Kapi- 
tel. Die Ergebnisse werden kritisch bewertet und mögliche zukünftige Forschungsfra- 


gen werden erörtert. 


2 Grundlagen: Sicherheit 


Zunächst muss bestimmt werden, was in dieser Arbeit unter dem Begriff „Sicherheit“ 
verstanden wird, weil der Begriff verschiedene Bedeutungen hat. So wird im deut- 
schen Sprachgebrauch Sicherheit sowohl für den Begriff „safety“ als auch für den Be- 
griff „security“ aus der internationalen Literatur verwendet. Die Begriffe können wie 


folgt inhaltlich unterschieden werden: 


e Safety bezeichnet nach Pohl (H. Pohl, 2004) den „Zustand eines Systems, in 
dem Maßnahmen zum Schutz (zur Vermeidung von Schäden) wirksam sind. 
In diesem Zustand ist das System frei von [...] Gefahren, die dem System o- 
der (außerhalb:) der Umwelt drohen - gekennzeichnet durch Begriffe wie 
Betriebssicherheit und Arbeitssicherheit“. Der Begriff System meint in der 
Veröffentlichung von Pohl (H. Pohl, 2004) ein IT-System. 

e Security bezeichnet einen Zustand eines Systems, in dem das System durch 
Maßnahmen vor „unerwünschtem Verhalten“ der Umgebung geschützt ist 
(H. Pohl, 2004). Dabei spielt es zunächst keine Rolle, ob ein Angreifer ab- 
sichtlich dieses unerwünschte Verhalten ausführt oder jemand unabsicht- 


lich das falsche Verhalten ausführt. 


So gehört der Anschnallgurt im Flugzeug zum Bereich der Safety, die Passagier- und 
Gepäckkontrollen am Flughafen zu Security. Das Beispiel vom Flughafen beziehungs- 
weise Flugzeug zeigt auch den Aspekt des Angreifers im Falle von Security. Die Kon- 
trollen wurden eingeführt, nachdem es in den 1970er-Jahren mehrere 
Flugzeugentführungen gab, es wurde also auf konkrete Gefahren durch vergangene 
Angreifer reagiert (Harms, 2011). Im Falle von Safety spielen Angriffe dagegen i. d. R. 
keine Rolle, vielmehr wurde die Gurtpflicht aufgrund von Unfällen eingeführt (Berg- 


mann, 2009). 
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2 Grundlagen: Sicherheit 


Nach Dierstein (Dierstein, 2004) sind die englischen Begriffe in der Diskussion um 
den Sicherheitsbegriff „zwar anwendbar, aber wenig geeignet“. Der wesentliche Un- 
terschied zwischen beiden Begriffen wäre durch die intentionalen Beeinträchtigun- 
gen (Security) und nichtintentionalen Beeinträchtigungen (Safety) gegeben. Da es bei 
der Beurteilung des Schadens nicht auf vorhandene beziehungsweise nicht vorhan- 
dene Absicht ankommt, sei die Unterscheidung mit dieser Bedeutung nicht zielfüh- 


rend. 


Eckert (Eckert, 2018) unterscheidet im Zusammenhang mit der Sicherheit von IT- 
Systemen jedoch ebenfalls diese Begriffe - allerdings mit anderem Schwerpunkt. So 
wird Safety als Funktionssicherheit von Security als Informationssicherheit abge- 


grenzt. 


e Die Funktionssicherheit (Safety) ist die Eigenschaft eines Systems, „dass die 
realisierte Ist-Funktionalität der Komponenten mit der spezifizierten Soll- 
Funktionalität übereinstimmt. Ein funktionssicheres System nimmt keine 
funktional unzulässigen Zustände an“ (Eckert, 2018, S. 6). Auch wenn der 
Schwerpunkt in dieser Definition im Gegensatz zu Pohl (H. Pohl, 2004) 
nicht auf dem Schutz des Systems liegt, wird doch deutlich, dass das System 
spezifikationsgemäß funktionieren soll und damit weder Umwelt noch das 
System selbst gefährdet sein sollen. 

e Nach Eckert (Eckert, 2018, S. 6) bezeichnet Informationssicherheit 
(Security) „die Eigenschaft eines funktionssicheren Systems, nur solche Sys- 
temzustände anzunehmen, die zu keiner unautorisierten Informationsver- 


änderung oder -gewinnung führen“. 


Wenn man die Definitionen zusammennimmt, wird Security als Sicherheit gegenüber 
absichtlichen Angriffen (Dierstein, 2004) der Umgebung (H. Pohl, 2004) verstanden, 
die dazu führt, dass ein System keine unautorisierte Informationsveränderung bezie- 
hungsweise Informationsgewinnung zulässt (Eckert, 2018). Dementsprechend kann 
Safety als Sicherheit vor nicht absichtlichen Aktionen (Dierstein, 2004) des Systems 
mit Schäden für die Umgebung oder das System selbst (H. Pohl, 2004) bezeichnet 
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werden. Es wird also garantiert, dass die „Ist-Funktionalität der Komponenten mit 


der spezifizierten Soll-Funktionalität übereinstimmt“ (Eckert, 2018, S. 6). 


In dieser Arbeit wird Vertraulichkeit als ein Schutzziel betrachtet. Dabei ist es - ana- 
log zu Dierstein (Dierstein, 2004) - nicht relevant, ob es dem Begriff Security und/o- 
der dem Begriff Safety zuzuordnen ist. In jedem Fall ist das Schutzziel der 
Vertraulichkeit aber in weitere Schutzziele, insbesondere dem der Informationssi- 
cherheit, eingebettet. Daher werden zur Abgrenzung im ersten Unterkapitel die 
Schutzziele der Informationssicherheit insgesamt dargestellt, bevor im zweiten Un- 


terkapitel das Schutzziel der Vertraulichkeit genauer betrachtet wird. 


2.1 Schutzziele der Informationssicherheit 


Pohl (H. Pohl, 2004) nimmt eine Taxonomie für den Begriff Informationssicherheit 
vor. Dort werden vier unabhängige, orthogonale Schutzziele mit insgesamt bis zu 
zwölf Unterschutzzielen zur Definition der Zielsetzung von Informationssicherheit im 


engeren Sinne (das heißt von „IT-Sicherheit“) herangezogen. Diese sind: 


1. Vertraulichkeit 

2. Integrität 
a. Konsistenz 
b. Genauigkeit 
c. Korrektheit 
d. Vollständigkeit 
e. (Plausibilität)! 

3. Verfügbarkeit 


a. Zuverlässigkeit 


1 Dieses Schutzziel ist in der grafischen Abbildung der Schutzziele (H. Pohl, 2004, Abbildung 4) nicht ent- 
halten, wird im Text der Veröffentlichung aber als Unterpunkt von Integrität genannt. 
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b. Fehlertoleranz 
c. Robustheit 
d. Wiederherstellbarkeit 
e. (Flexibilität)? 
4. Verbindlichkeit 
a. Authentizität 
b. Beherrschbarkeit 


Pohl (H. Pohl, 2004) beschreibt auch das (Teil-)Schutzziel der „Revisionsfähigkeit“, 
ordnet es aber keinem der vier genannten Hauptziele zu. Die Zuordnung ist auch nicht 
eindeutig, weil Revisionsfähigkeit beispielsweise Integrität (unveränderte Daten) 
und Verbindlichkeit (hier als Möglichkeit, Handlungen aufeinen Akteur zurückzuver- 


folgen) voraussetzt. 


Einige Schutzziele, wie Integrität, können nur ganz oder gar nicht erreicht werden 
(binäre Ziele); bei anderen Schutzzielen, wie Verfügbarkeit, können unterschiedliche 


Niveaus erreicht beziehungsweise unterschieden werden (H. Pohl, 2004). 


Das Bundesamt für Sicherheit in der Informationstechnik gab 2018 erstmals das IT- 
Grundschutz-Kompendium als Nachfolger der IT-Grundschutz-Kataloge heraus. Da- 
rin werden drei Hauptziele genannt: Vertraulichkeit, Integrität und Verfügbarkeit 
(BSI, 2018, S. 1). Verbindlichkeit wird darin nicht explizit erwähnt. Vollständig sind 
weder die vier noch die drei Schutzziele. Die Aufzählung gibt trotz des Fehlens weite- 
rer, je nach Szenario relevanter, Schutzziele, wie Anonymität, Pseudonymität, Unbe- 
obachtbarkeit, Nicht-Vermehrbarkeit (H. Pohl, 2004, Abbildung 5) und Wartbarkeit 
(Dierstein, 2004), mit ihren drei (nach BSI, 2018) beziehungsweise vier (nach H. Pohl, 
2004) Schutzzielen bereits ein häufiges Verständnis der Ziele von Informationssi- 


cherheit wieder. 


2 Pohl (H. Pohl, 2004) beschreibt dies als nicht notwendige, aber unterstützende Eigenschaft. Im Ansatz 
von Bedner & Ackermann (Bedner & Ackermann, 2010) müsste das Ziel dem dort vorhandenen Haupt- 
ziel der Kontingenz zugeordnet werden. 
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Die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit finden sich auch bei 
Bedner & Ackermann (Bedner & Ackermann, 2010) und werden dort um die zwei 
weiteren Schutzziele Kontingenz und Transparenz ergänzt. Kontingenz soll als „ein 
Schutzziel gegen Einengung durch Technik“ wirken und verhindern, durch 
„Technikeinsatz ohne Interventionsmöglichkeit eingeengt zu werden“ (Bedner & 
Ackermann, 2010). Dazu gehört das Unterziel der glaubhaften Abstreitbarkeit. Trans- 
parenz ist mit dem Schutzziel „Verbindlichkeit“ nach Pohl (H. Pohl, 2004) vergleich- 
bar, zumal Bedner & Ackermann (Bedner & Ackermann, 2010) die Unterziele 
Zurechenbarkeit, Authentizität und Revisionsfähigkeit nennen und sich mit Zure- 
chenbarkeit und Authentizität zwei dieser drei Begriffe auch in der Beschreibung von 


Verbindlichkeit bei Pohl (H. Pohl, 2004) wiederfinden. 


Auch Dierstein (Dierstein, 2004) nennt die drei Schutzziele (Dierstein spricht von Di- 
mensionen) Vertraulichkeit, Integrität und Verfügbarkeit und ordnet sie der „Sicht 
der Verlässlichkeit“ zu. Dabei muss ein verlässliches IT-System „[1.] alle geforderten 
Aktionen ausführen, [2.] alle nicht geforderten Aktionen zurückweisen und dies [3.] 
in den geforderten zeitlichen Rahmenbedingungen“ (Dierstein, 2004). Diese Sicht 
wird durch die komplementäre „Sicht der Beherrschbarkeit“, zu der mindestens die 
beiden Schutzziele Zurechenbarkeit und Rechtsverbindlichkeit/Revisionssicherheit 
gehören, ergänzt (Dierstein, 2004). Dabei ist die „Zurechenbarkeit [a]ller Vorgänge 
und Ergebnisse (Aktionen und Daten) zu definierbaren Veranlassern [... zu] gewähr- 
leisten“ und zur Erreichung des Schutzziels Revisionsfähigkeit/Rechtsverbindlich- 
keit ist die „Beweisbarkeit aller Daten und Vorgänge gegenüber Dritten im 
Rechtsverkehr [zu] ermöglichen“ (Dierstein, 2004, Tabelle 2). Die beiden Schutzziele 
der zweiten Sicht finden sich beispielsweise auch bei Pohl (H. Pohl, 2004). Dort wird 
Revisionssicherheit aufgeführt und mit „Verbindlichkeit“ ein Schutzziel beschrieben, 


das der Zurechenbarkeit weitestgehend entspricht. 


Die zwei Sichten mit ihren insgesamt fünf Schutzzielen nach Dierstein (Dierstein, 
2004) sind in Abbildung 1 dargestellt und beschreiben den Begriff IT-Sicherheit. 


„Fundamental heißen diese Eigenschaften [Schutzziele] auch, weil sie umfassend das 
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Bedeutungsfeld (Bedeutungsinhalt und Bedeutungsumfang), [also] die Semantik des 
Begriffs IT-Sicherheit beschreiben“ (Dierstein, 2004). Es muss daher bei einem Si- 
cherheitskonzept oder bei einem Sicherheitsaudit jedes dieser Schutzziele adressiert 


werden. 


Dierstein (Dierstein, 2004) sagt selbst, dass die Schutzziele möglicherweise noch er- 
gänzt werden müssen; den Anspruch der Vollständigkeit erheben sie insbesondere 
für die Zukunft nicht. Ein mögliches weiteres Schutzziel für die Sicht der Beherrsch- 
barkeit, das heißt der Sicherheit der Betroffenen vor dem System, ist der Datenschutz. 
Die Definition der Beherrschbarkeit als „Sachlage, bei der Rechte oder schutzwürdige 
Belange der Betroffenen durch das Vorhandensein oder die Nutzung von IT-Systemen 
nicht unzulässig beeinträchtigt werden“ (Dierstein, 2004), legt dies nahe. Allerdings 
wird vom Datenschutz selbst wiederum IT-Sicherheit gefordert, sodass die Anforde- 
rung des Datenschutzes möglicherweise besser getrennt bleibt. Zudem wird Daten- 
schutz nicht nur hinsichtlich IT-Systemen zu beachten sein, sodass eine Integration 
in ein IT-Sicherheitskonzept nur einen Teilaspekt darstellen könnte. Dies spricht 
auch für eine getrennte Betrachtung des Datenschutzes - wie sie in der vorliegenden 


Arbeit zunächst im 3. Kapitel erfolgt. 


Diese Schutzziele haben die Absicht, einen Schaden abzuwenden beziehungsweise 
die Eintrittswahrscheinlichkeit zu reduzieren (Bedner & Ackermann, 2010). Zusätz- 
lich gibt es Schutzziele, die nicht die Eintrittswahrscheinlichkeit reduzieren wollen, 
aber als ergänzende vorbeugende Strategie des Risikomanagements das Schadenpo- 


tenzial mindern möchten (Hammer, 1999). 
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Informationssicherheit 


N 


Sicht der Verlässlichkeit Sicht der Beherrschbarkeit 
Vertraulichkeit Integrität Verfügbarkeit Zurechenbarkeit Rechtsverbindlichkeit/ 


Revisionssicherheit 


Abbildung 1: Schutzziele der Informationssicherheit 


Im Folgenden werden die fünf Schutzziele nach Dierstein (Dierstein, 2004) verwen- 
det, da sie bis auf Kontingenz die Hauptschutzziele der anderen betrachteten Veröf- 
fentlichungen umfassen. Kontingenz wurde bewusst nicht ergänzt, da es nicht als für 


alle Systeme fundamental betrachtet wird. 


Informationssicherheit ist durch verschiedene Bedrohungen gefährdet. Nach Pohl (H. 


Pohl, 2004) lassen sich Bedrohungen nach drei Ursachen unterscheiden: 


e höhere Gewalt 
e Fahrlässigkeit 
e  Absichtliches Vorgehen 


Nach Grochla u. a. (Grochla, Weber, Albers & Werhahn, 1983) ist als vierte mögliche 
Ursache noch „technisches Versagen“ zu ergänzen, hierzu gehören beispielsweise 
Stromausfall und technische Defekte. Der höheren Gewalt ordnen Grochla u. a. 
(Grochla u. a. 1983) Elementarschadensereignisse (Feuer, Sturm, Erdbeben, Über- 
schwemmungen, aber auch Explosion und Seuchen) sowie Boykotts, Streiks, Aufruhr 


und Krieg zu. 
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Das BSI (BSI, 2018) hat 47 „elementare Gefährdungen“ aus „vielen spezifischen Ein- 
zelgefährdung[en]“ so herausgearbeitet, dass die Aufzählung kompatibel mit interna- 
tionalen Gefährdungskatalogen beziehungsweise Sicherheitsstandards ist und jede 
Gefährdung produktneutral und möglichst auch technikneutral bezeichnet ist. Da 
eine Gefahr ein „[mJögliches Eintreten einer Bedrohung gegen ein IT-System“ (H. 


Pohl, 2004) ist, liegt jeder elementaren Gefährdung eine Bedrohung zugrunde. 


Tabelle 1 ordnet die 47 Bedrohungen aus BSI (BSI, 2018, S. 47ff.) den fünf Schutzzie- 
len und vier typischen Ursachen zu. Das bedeutet aber nicht, dass die nicht zugeord- 
neten Ursachen für die jeweilige Bedrohung ausgeschlossen werden können. Auch 
bei den bedrohten Schutzzielen kann eine indirekte Wirkung auf andere Schutzziele 
nicht ausgeschlossen werden. So führt beispielsweise ein Stromausfall zunächst zum 
Absturz eines Datenbankservers (Verfügbarkeit), aufgrund verloren gegangener be- 
stätigter Transitionen (sie waren im Arbeitsspeicher verarbeitet, aber noch nicht per- 
sistiert) kann beispielsweise auch die Integrität betroffen sein. Oder das Ausspähen 
von Informationen dient dem Ausspähen von Zugangsdaten und der nachfolgenden 
Manipulation von Daten (Integrität) beziehungsweise dem Vornehmen von Handlun- 


gen (Verbindlichkeit). 


Auch führt ein Verlust der Verfügbarkeit, wenn er nicht durch andere Medien ersetzt 
werden kann, zu Schwierigkeiten hinsichtlich der Zurechenbarkeit und der Rechts- 
verbindlichkeit, weil die Daten zum Nachweis fehlen. Auch ist fehlende Integrität ein 
Problem für die Rechtsverbindlichkeit. Die Schutzziele Zurechenbarkeit und Rechts- 
verbindlichkeit sind hier jedoch wie alle anderen Schutzziele auch nur markiert, 
wenn ein Angriff auf das jeweilige Schutzziel direkt bei dieser Bedrohung wahr- 


scheinlich und bei absichtlichen Angriffen beabsichtigt ist. 
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Tabelle 1: Zuordnung von Bedrohungen zu typischen Ursachen und typischen / primär bedrohten 
Schutzzielen 


elementare Gefahr Ursachen bedrohte 
beziehungsweise Bedrohung Schutzziele 


Zurechenbarkeit 
Rechtsverbindlichkeit 


Vertraulichkeit 
Integrität 


x technisches Versagen 


G01 Feuer 

G02 ungünstige klimatische Be- 
dingungen 

G03 Wasser 

G04 Verschmutzung, Staub, Kor- 
rosion 

G05 Naturkatastrophen X 

G06 Katastrophen im Umfeld X 

G07 Großereignisse im Umfeld X X 
G08 Ausfall oder Störung der X X X 
Stromversorgung 

G09 Ausfall oder Störung von X X X XIEX X 
Kommunikationsnetzen 

G10 Ausfall oder Störung von xx |X X 
Versorgungsnetzen 

G11 Ausfall oder Störung von x|IxX|XxX|X X 
Dienstleistern 

G12 elektromagnetische XIXI XIX x iz x EX 
Störstrahlung 

G13 Abfangen kompro-mittie- x|/X 

render Strahlung 

G14 Ausspähen von X X 

Informationen (Spionage) 

G15 Abhören XIEX 


x x absichtliches Vorgehen 


x x höhere Gewalt 
% = Fährlässigkeit 
x x Verfügbarkeit 


x< < 
x< < 
x< < 

>x< 
x< < 


K < < < 


3 beispielsweise durch das Offenlassen eines Fensters die Wirkung der Klimaanlage (zur Schaffung güns- 
tiger Klimabedingungen im Serverraum) zerstören 


19 


2 Grundlagen: Sicherheit 


elementare Gefahr Ursachen bedrohte 
beziehungsweise Bedrohung Schutzziele 


Fährlässigkeit 
Zurechenbarkeit 
Rechtsverbindlichkeit 


technisches Versagen 
Integrität 


höhere Gewalt 
x absichtliches Vorgehen 


x Vertraulichkeit 
x Verfügbarkeit 


G16 Diebstahl von Geräten, Da- 
tenträgern oder Dokumenten 
G17 Verlust von Geräten, Daten- 
trägern oder Dokumenten 

G18 Fehlplanung oder fehlende X X 
Anpassung* 

G19 Offenlegung schützens-wer- x X | X X 

ter Informationen 

G20 Informationen oder Pro- x X X 

dukte aus unzuverlässiger 

Quelle5 

G21 Manipulation von XEXE EXZ Erz EX 
Hard- oder Software 

G22 Manipulation von X X 

Informationen 

G23 unbefugtes Eindringen in XXIX TEXTEX 
IT-Systeme 

G024 Zerstörung von Geräteno- X X X X X 

der Datenträgern 

G25 Ausfall von Geräten oder XIEX X 

Systemen 


>x< 
>x< 
>x< 
>x< 


>x< 
>x< 
>< 
>x< 
>x< 


4 Das BSI beschreibt die elementare Gefahr wie folgt: „Wenn organisatorische Abläufe, die direkt oder 
indirekt der Informationsverarbeitung dienen, nicht sachgerecht gestaltet sind, kann dies zu Sicher- 
heitsproblemen führen. Obwohl jeder einzelne Prozessschritt korrekt durchgeführt wird, kommt es oft 
zu Schäden, weil Prozesse insgesamt fehlerhaft definiert sind [...].“ (BSI, 2018, S. 64). Die Gefahr wird 
durch Abhängigkeiten zwischen Prozessen und fehlerhafter Zuweisung von Verantwortlichkeiten ver- 
stärkt. 

5 Das BSI fasst hierunter beispielsweise auch Angriffe mithilfe gefälschter E-Mail-Absender mit dem Ziel, 
den Empfänger zu falschen Handlungen zu bewegen. 
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elementare Gefahr 
beziehungsweise Bedrohung 


G26 Fehlfunktion von Geräten o- 
der Systemen 

G27 Ressourcenmangel 

G28 Softwareschwachstellen o- 
der -fehler 

G29 Verstoß gegen Gesetze oder 
Regelungen 

G30 unberechtigte Nutzung oder 
Administration von Geräten und 
Systemen 

G31 fehlerhafte Nutzung oder 
Administration von Geräten und 
Systemen 

G32 Missbrauch von 
Berechtigungen 

G33 Personalausfall 

G34 Anschlag 

G35 Nötigung, Erpressung oder 
Korruption 

G36 Identitätsdiebstahl 

G37 Abstreiten von 

Handlungen 

G38 Missbrauch 
personenbezogener Daten 

G39 Schadprogramme 

G40 Verhinderung von 

Diensten (Denial of Service) 

G41 Sabotage 

G42 Social Engineering 


x höhere Gewalt 


> 


2.1 Schutzziele der Informationssicherheit 


Ursachen bedrohte 
Schutzziele 
fæl 

43 E : 
60 (b) e 
Ss [sfo] E- 
171 $æ +w o 
u © ai) u u 
(<b) p 
os o- > WE =» x 
> D [771 Er ‘oO [e S 
u Ar 9 S ‘2 
£ „20 O 9 j3 = = 
5 7 "= — Ba] S = (3) 
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X X X X X 

X X X 
X X X X X X 
X X X X X 


XX] X 

X X 

X X 

XEXE X|X|X 
X X X 
X X 

X X 


X X 
X X 
X X 
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elementare Gefahr Ursachen bedrohte 
beziehungsweise Bedrohung Schutzziele 


technisches Versagen 
Fährlässigkeit 
Verfügbarkeit 
Zurechenbarkeit 
Rechtsverbindlichkeit 


höhere Gewalt 
x absichtliches Vorgehen 


x Vertraulichkeit 
x Integrität 


G43 Einspielen von 

Nachrichten 

G44 unbefugtes Eindringen in X 
Räumlichkeiten 

G45 Datenverlust XEXE 
G46 Integritätsverlust schüt- XIX 
zenswerter Informationen 

G47 schädliche Seiteneffekte IT- XX EX XKX 
gestützter Angriffe 


>x< 
>x< 
>x< 
>x< 


x< < 


Später lässt sich mithilfe dieser Tabelle 1 betrachten, welche Bedrohungen durch den 


in der vorliegenden Arbeit beschriebenen Ansatz adressiert werden. 


Mit den Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit, Zurechenbarkeit und 
Rechtsverbindlichkeit/Revisionssicherheit sind die unternehmerischen und gesell- 
schaftlichen Ziele beschrieben. Gemäß Biskup (Biskup, 1993) müssen diese durch Ab- 
leiten technischer Anforderungen und operationalisierter Maßnahmen konkretisiert 
werden. In der vorliegenden Arbeit wird nur das Schutzziel der Vertraulichkeit näher 


betrachtet und daher im nächsten Unterkapitel genauer spezifiziert. 
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2.2 Vertraulichkeit 


Das Schutzziel der Vertraulichkeit wird von Dierstein (Dierstein, 2004) als das älteste 
Schutzziel der IT-Sicherheit genannt und auch in der ersten Fassung der 1985 veröf- 
fentlichen „U.S. Department of Defence Standard Trusted Computer System Evalua- 
tion Criteria“ (DoD, 1985) als einziges Schutzziel genannt (auch wenn die anderen 
Schutzziele damals bereits bekannt waren). Unstreitig ist, dass es als erstes Schutz- 


ziel sehr weit entwickelt wurde. 


Das Schutzziel der Vertraulichkeit ist, wie im vorherigen Unterkapitel erörtert, Teil 
der Sicht der Verlässlichkeit. Das heißt, das Schutzziel stammt ursprünglich aus einer 
Systemperspektive. Soweit jedoch Informationen im Sinne von Nutzdaten und keine 
Zugangsdaten geschützt werden, sind durch den Schutz der Nutzdaten aber auch die 
natürlichen und juristischen Personen, denen die Inhalte gehören beziehungsweise 
auf die sich die Nutzdaten beziehen, geschützt. Dementsprechend ist das Schutzziel 
nicht trennscharf einer Sicht zuzuordnen, weil es auch Aspekte der Sicht der Be- 
herrschbarkeit als Betroffenenperspektive hat. Die Zuordnung zu einer Perspektive 
ist aber für die Gewährleistung des Schutzzieles auch nicht entscheidend. Relevanter 
ist, durch welche Gefahren es bedroht ist. Wie bereits herausgearbeitet, sind dies ver- 
schiedene elementare Gefahren’, sie haben eine ganz unterschiedliche Wirkungs- 
weise. Für den Ansatz dieser Arbeit entscheidend ist, dass etliche einen Bezug zu 
Geschäftsprozessen haben. So bezieht die Gefahr „Fehlplanung oder fehlende Anpas- 
sung“ aus BSI (BSI, 2018) explizit organisatorische Abläufe, Prozesse und Prozess- 


schritte mit ein und kann dementsprechend auch mithilfe von Prozessgestaltung 


6 So werden beispielsweise bei Grochla u. a. (Grochla, Weber, Albers & Werhahn, 1983) bereits neben 
Vertraulichkeit auch Integrität und Verfügbarkeit genannt. 

7 Abfangen kompromittierender Strahlung (G13), Ausspähen von Informationen (Spionage, G14), Abhö- 
ren (G15), Diebstahl beziehungsweise Verlust von Geräten, Datenträgern oder Dokumenten (G16 bezie- 
hungsweise G17), Fehlplanung oder fehlende Anpassung (G18), Offenlegung schützenswerter 
Informationen (G19), Manipulation von Hard- oder Software (G21), unbefugtes Eindringen in IT-Sys- 
teme (G23), Fehlfunktion von Geräten oder Systemen (G26), Softwareschwachstellen oder -fehler (G28), 
Verstoß gegen Gesetze oder Regelungen (G29), unberechtigte beziehungsweise fehlerhafte Nutzung o- 
der Administration von Geräten und Systemen (G30 beziehungsweise G31), Missbrauch von Berechti- 
gungen (G32), Nötigung, Erpressung oder Korruption (G35), Missbrauch personenbezogener Daten 
(G38), Schadprogramme (G39), Social Engineering (G42), Einspielen von Nachrichten (G43), unbefugtes 
Eindringen in Räumlichkeiten (G44), schädliche Seiteneffekte IT-gestützter Angriffe (G47) 
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abgesichert werden. Es gibt aber auch Gefahren wie das „Abfangen kompromittieren- 
der Strahlung“ aus BSI (BSI, 2018), für die der Ansatz dieser Arbeit nicht geeignet ist, 
weil (primär) technische Maßnahmen oder organisatorische Maßnahmen nicht pro- 


zessbezogener Art benötigt werden. 


Zunächst muss aber festgelegt werden, was unter dem Schutzziel Vertraulichkeit ver- 
standen wird. Bedner & Ackermann (Bedner & Ackermann, 2010) definieren, dass 
Vertraulichkeit „bei einem IT-System gewährleistet [ist], wenn die darin enthaltenen 
Informationen nur Befugten zugänglich sind.“ Nach Eckert (Eckert, 2018, S. 10) ge- 
währleistet ein „System die Informationsvertraulichkeit (engl. confidentiality) [...], 
wenn es keine unautorisierte Informationsgewinnung ermöglicht“. Damit stimmen 
Definitionen in internationaler Literatur, wie beispielsweise bei Avižienis u. a. (Avizi- 
enis, Laprie & Randell, 2004)8 sowie bei Pfleeger & Pfleeger (Pfleeger & Pfleeger, 
2003, S. 10), und Standards, wie ISO 27.000, überein, wobei ISO 27.000 konkreti- 
siert, dass die Informationsgewinnung weder durch Personen noch durch Prozesse 
stattfinden darf. Gemäß Freiling u. a. (Freiling, Grimm, Großpietsch, Keller, Mottok, 
Münch, Rannenberg & Saglietti, 2014) müssen „vertrauliche Informationen [...] vor 
unbefugter oder unbeabsichtigter Preisgabe geschützt werden“. Im Gegensatz zur 
Wortwahl von Eckert (Eckert, 2018, S. 10) steht hier nicht die Informationsgewin- 
nung, sondern die Preisgabe im Fokus; während Gewinnung ein Handeln von „außen“ 
nahelegt, kann Preisgabe auch beispielsweise ein unabsichtliches Handeln von „in- 


nen“ umfassen. 


Grochla u. a. (Grochla u. a., 1983) unterscheiden zwei unterschiedliche Schutzberei- 
che mit unterschiedlichen Schutzobjekten. Einerseits soll das Informationsverhal- 


ten geschützt werden. Hierzu gehören die Metadaten der Kommunikation im 


8 „confidentiality: absence of unauthorized disclosure of information“ (Avizienis, Laprie & Randell, 2004, 
S. 95) 

9 „confidentiality: property that information is not made available or disclosed to unauthorized individu- 
als, entities, or processes“ (International Organization for Standardization, 2014) 
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Speziellen und der Nutzung der IT im Allgemeinen. Andererseits sollen die Informa- 
tionsinhalte geschützt werden. Im Fokus der vorliegenden Arbeit hinsichtlich Ver- 


traulichkeit steht der Schutz der Informationsinhalte. 


Für die vorliegende Arbeit gilt die folgende Definition. Sie basiert auf den obigen De- 
finitionen und betont zudem den Aspekt, dass eine Information nicht ohne Autorisie- 


rung von einem Prozess verwendet werden darf. 


Definition 2.1: 

Informationsvertraulichkeit 

Die Anforderung der Informationsvertraulichkeit fordert von einem System, 
dass keine nicht autorisierte (das heifst vom Eigentümer des Systems gewollte) 
Gewinnung, Offenlegung oder Verwendung von Informationsinhalten durch Per- 
sonen, Organisationen, Systeme oder Prozesse stattfinden kann beziehungsweise 
stattfindet. 


Die Informationsinhalte können während ihrer Speicherung und während ihres 
Transportes durch Verschlüsselung geschützt werden (Bedner & Ackermann, 2010). 
Dieser Schutzmechanismus ist im Allgemeinen! während der Verarbeitung nicht 
möglich. Der Ansatz der vorliegenden Arbeit möchte daher eine sichere Verarbeitung 


erreichen. 


2.3 Sicherheitsökonomie und Risikomanagement 


Absolute IT-Sicherheit, das heißt IT-Sicherheit gegenüber allen bekannten und unbe- 


kannten Bedrohungen und in allen praktischen Anwendungsszenarien, kann nicht 


10 Es gibt Ansätze, auf verschlüsselten Daten zu rechnen, sogenannte homomorphe Verschlüsselungsver- 
fahren. Diese sind jedoch in ihren Einsatzmöglichkeiten begrenzt (Wiese, Homann, Waage & Brenner, 
2018). Es existieren auch Ansätze, verteilte Datenbanksysteme so zu gestalten, dass Vertraulichkeit zu- 
mindest gefördert wird (zum Beispiel Verginadis u. a., 2017). 
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garantiert werden (vgl. Freiling u. a., 2014; Klein-Hennig & Schmidt, 2017; Merschba- 
cher, 2018). Dies gilt auch im Bereich der Vertraulichkeit. So wird beispielsweise be- 
reits von Shannon (Shannon, 1949) gefordert, dass ein Angreifer mit unbeschränkten 
Ressourcen (Zeit, Rechenleistung ...) aus allem, was er beobachten und analysieren 
kann, keine Informationen (hier für eine Verschlüsselung über Nachricht oder Schlüs- 


sel) gewinnen kann (vgl. Baumann, Franz & Pfitzmann, 2014, S. 76). 


Auch wenn es dementsprechend keine absolute Sicherheit gibt, existiert dennoch for- 
mal beweisbare Sicherheit. Hierzu müssen das Schutzziel exakt definiert sowie An- 
nahmen über das zugrunde liegende Angreifermodell und das zu schützende System 
festgelegt werden; innerhalb dieser Grenzen kann es dann beweisbare Sicherheit ge- 
ben (Baumann u. a., 2014, S. 63). Wegen dieser Abhängigkeit zu den Annahmen spre- 
chen beispielsweise Broadnax u. a. (Broadnax, Mechler, Müller-Quade, Nagel & Rill, 
2017) davon, Sicherheit relativ zu definieren. Die mathematische Definition der Si- 
cherheit eines technischen Systems ist schwierig. Mit der spielbasierten Definition 
und mit der simulationsbasierten Definition gibt es gegenwärtig zwei in der Wissen- 


schaft etablierte Ansätze (Broadnax u. a., 2017). 


Schwächer als beweisbare Sicherheit - aber gleichzeitig breiter einzusetzen - ist 
nachvollziehbare Sicherheit im Sinne von „[fJormal analysierbare[r] Sicherheit“ und 
noch schwächer „[ilnhaltlich analysierbare[r] Sicherheit“ (Beutelspacher, 2008, S. 
176). Von formal analysierbarer Sicherheit spricht man, wenn man beispielsweise die 
Sicherheit eines Algorithmus nicht vollständig beweisen, aber „teilweise mathema- 
tisch exakt analysieren“ kann. Bei inhaltlich analysierbarer Sicherheit können Argu- 


mente für und gegen die Sicherheit eines Verfahrens aufgestellt werden. 


Es bleibt die Frage, welches Maß an IT-Sicherheit zu fordern ist. Soll das maximal 
mögliche Schutzniveau erreicht werden, das heißt jede technische und organisatori- 
sche Maßnahme zur Absicherung eines IT-Systems getroffen werden? Da Maßnah- 
men aber auch immer mit Kosten oder anderen Einschränkungen (beispielsweise bei 
Bedienbarkeit oder Funktionalität) verbunden sind, ist dies oft (wirtschaftlich) nicht 


sinnvoll (Grochla u. a., 1983). 
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Um die Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen zu bewerten, ist es zu- 
nächst notwendig, die Kosten eines (möglichen) Sicherheitsvorfalls zu bewerten. Da- 
bei sind Umsatzeinbußen, Wertverlust, Wiederherstellungskosten und 
Schadensersatzleistungen zu berücksichtigen (Fox, 2011). Anschließend können die 
Eintrittswahrscheinlichkeit des Schadens und somit das Risiko ermittelt werden. 
Demgegenüber stehen die Kosten von Sicherheitsmaßnahmen zur Reduktion der Ein- 
trittswahrscheinlichkeit oder der Begrenzung des möglichen Schadens. Diese umfas- 
sen Konzeptionskosten, Investitionskosten und Betriebskosten einschließlich 
Produktivitätsverluste!! (Fox, 2011). In der Praxis ist es neben der monetären Be- 
wertung schwierig, dass weder Risiken noch Sicherheitsmaßnahmen einzeln vor- 
kommen, sondern immer eine Vielzahl von Fakten betrachtet werden muss. So muss 
für unterschiedliche Maßnahmenbündel jeweils der Gewinn an Sicherheit (altes Ri- 
siko abzüglich neuem Risiko) mit den kumulierten Kosten der Maßnahmen vergli- 


chen werden (Fox, 2011). 


Die integrierte Modellierung von Anforderungen der Informationsvertraulichkeit in 
Geschäftsprozessen kann eine ökonomische Betrachtung unterstützen, da diemitden 
Anforderungen verbundenen Kosten und Einschränkungen (beispielsweise hinsicht- 


lich der Zuweisung von Mitarbeitern) direkt erkennbar oder analysierbar sind. 


Die ökonomische Sicherheit ist nicht immer möglich. Drei typische Gründe für wei- 
terführende Sicherheitsmaßnahmen sind die Erfüllung gesetzlicher Verpflichtungen, 
gesellschaftliche Erwartungen und/oder eigene ethische Prinzipien der beteiligten 


Personen. 


e Gesetz: Unabhängig von der Wirtschaftlichkeit von Schutzmaßnahmen kön- 
nen diese zur Erfüllung gesetzlicher Anforderungen notwendig sein. Darauf 


weisen bereits Grochla u. a. (Grochla, Weber, Albers & Werhahn, 1983) hin. 


11 Insofern ist auch eine möglicherweise aufwendigere Bedienung hier bereits berücksichtigt. Dabei kann 
auch berücksichtigt werden, dass aufgrund einer Sensibilisierung die Bereitschaft, Einschränkungen 
der Benutzerfreundlichkeit hinzunehmen, steigt (Grochla u. a., 1983). Es muss dennoch beachtet wer- 
den, dass eine signifikant schlechtere Benutzerfreundlichkeit zur Umgehung mittels Schatten-IT und 
somit zu neuen Sicherheitsrisiken führen kann. 
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Mögliche Beispiele solcher Gesetze sind je nach Anwendungsfall das Daten- 
schutzrecht oder bei kritischen Infrastrukturen das Gesetz zur Erhöhung 
der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). 
Gesellschaft: Für bestimmte Szenarien erwartet die Gesellschaft ein be- 
stimmtes Schutzniveau, die Nichtbeachtung dieser Erwartungshaltung kann 
bei Bekanntwerden beispielsweise zu Wettbewerbsnachteilen führen. 
Ethik: Eine Organisation muss beziehungsweise möchte sich, sofern vor- 
handen, auch an eigene ethische Leitlinien beziehungsweise Verhaltensko- 
dizes halten 12. Zudem haben beteiligte Personen eigene ethische 
Vorstellungen, die sie im Rahmen ihrer Möglichkeiten in die Entscheidungs- 
findung beziehungsweise Wahrnehmung ihrer Aufgaben einbringen. 
Ethische Zusatzanforderungen können sich daraus dann konkret unter an- 
derem durch mögliche Schäden ergeben, die unabhängig von ihrer wirt- 
schaftlichen Bedeutung nicht akzeptabel sind und daher durch besondere 
Maßnahmen so weit wie möglich ausgeschlossen werden müssen. Eine an- 
dere Ursache sind mögliche Schäden, die materiell nicht oder zu niedrig er- 
fasst werden, aber aus Sicht der Beteiligten eine höhere Bedeutung haben. 
Die Zusammenhänge von Ethik und Sicherheit wurden seit 2016 auch im 
Rahmen des EU-Forschungsprogrammes Horizon 2020 als Koordinations- 
und Unterstützungsaktivität „Constructing an Alliance for Value-driven Cy- 
bersecurity“ (CANVAS) untersucht!3. Im Rahmen des Projektes ist auch 
eine Literaturstudie (Yaghmaei u. a., 2017) entstanden, welche gezeigt hat, 
dass ethische Fragen der Informationssicherheit gegenwärtig nicht etab- 
liert sind, sondern dass sich die Ethikforschung rund um die Informations- 
verarbeitung auf andere Themen wie Big Data und Datenschutz 


konzentriert. 


12 Beispielsweise hat das KIT ethische Leitlinien öffentlich unter https://www.kit.edu/ 


downloads/KIT_Ethische_Leitlinien.pdf publiziert. 


13 https://canvas-project.eu 
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Es ist daher zielführender, von einem angemessenen Sicherheitsniveau zu sprechen 
- dieses kann dann alle Gesichtspunkte umfassen. Zudem ist es wichtig, nicht nur ei- 
nen Teil eines IT-Systems zu betrachten, sondern Informationssicherheit möglichst 


ganzheitlich zu sehen. 
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Datenschutz bezeichnet den Schutz personenbezogener Daten zur Einhaltung des 
Grundrechts auf informationelle Selbstbestimmung aller natürlichen Personen (vgl. 
Gola, Jaspers, Müthlein & Schwartmann, 2016), dementsprechend wird der Daten- 
schutz auch als „Garant“ des Grundrechts auf informationelle Selbstbestimmung be- 
zeichnet (so beispielsweise in Voßhoff, 2015). Der Schutz personenbezogener Daten 
ist abzugrenzen vom Schutz anderer Daten. So schreibt der ehemalige Bundesbeauf- 
tragte für den Datenschutz und die Informationsfreiheit Peter Schaar: „[B]eim Daten- 
schutz geht es nicht um den Schutz von Daten schlechthin, sondern um den Schutz 
personenbezogener Daten, und zwar vor dem Hintergrund des Rechts auf informati- 
onelle Selbstbestimmung und der Gewährleistung der Privatsphäre.“ (Schaar, 2017a, 


S. 23) 


Im ersten Abschnitt dieses Kapitels wird die Geschichte des Datenschutzes kurz zu- 
sammengefasst, um später verschiedene Begriffe besser einordnen zu können, bevor 
im zweiten Abschnitt die Bedeutung des Datenschutzes für die Gesellschaft und für 
Einzelpersonen erklärt wird. Damit wird motiviert, warum Datenschutz relevant ist, 
und warum sich Unternehmen, die sich rechtstreu verhalten wollen beziehungsweise 
aus anderen beispielsweise moralischen Gründen die informationelle Selbstbestim- 
mung ihrer Kunden oder deren Daten schützen wollen, sich um Datenschutz syste- 
matisch sorgen müssen. Da für alle Unternehmen, sofern sie den europäischen Markt 
adressieren und personenbezogene Daten verarbeiten, die Europäische Datenschutz- 
Grundverordnung (EU-DS-GVO) als aktuell wichtigste Datenschutznorm relevant ist, 
wird im dritten Abschnitt ihr sachlicher und räumlicher Anwendungsbereich be- 
schrieben. Zuletzt werden im vierten Abschnitt die neun Grundsätze der EU-DS-GVO 
erläutert. Dabei werden ausgewählte Grundsätze, die mithilfe des Ansatzes dieser Ar- 


beit umgesetzt werden können, detaillierter beschrieben. 
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3.1 Geschichte des Datenschutzrechtes 


Damit später verwendete Begriffe besser eingeordnet und in ihrer - durch die Histo- 
rie mitbestimmten Bedeutung - erfasst werden können, erfolgt zunächst eine Einfüh- 
rung in die (junge) Geschichte des Datenschutzrechtes. Dies ist auch deswegen von 
Bedeutung, weil die neue Europäische Datenschutz-Grundverordnung aufgrund ihrer 
Neuheit und der folglich fehlenden höchstrichterlichen Urteile Interpretationsspiel- 


raum bietet, der so ggf. reduziert werden kann. 


Aufgrund der „Entstehung großer Rechenzentren entstand Ende der sechziger Jahre 
[-..] die Notwendigkeit, den Bürger vor Missbrauch der Vielzahl über ihn nun spei- 
cherbaren Daten [...] zu schützen.“ (Scholz, 2017, Rn. 9). Damals stand der Schutz des 
Bürgers vor staatlichem Handeln im Fokus, weil der Staat beziehungsweise die Be- 
hörden begannen, große Rechenzentren aufzubauen. Das weltweit erste Daten- 
schutzgesetz ist 1970 in Hessen in Kraft getreten (Leeb & Liebhaber, 2018, S. 534). Es 
folgten Landesdatenschutzgesetze in weiteren Bundesländern (beispielsweise 
Rheinland-Pfalz 1974, Bayern 1978, Schleswig-Holstein 1978, Baden-Württemberg 
1979, Hamburg 1981). Hierdurch war jedoch nur das Handeln durch Landesbehör- 
den geregelt, das Handeln von Bundesbehörden wurde erstmals 1977 durch das Bun- 
desdatenschutzgesetz geregelt (Scholz, 2017, Rn. 9). Auch in anderen Staaten wurden 
Gesetze zum Umgang mit personenbezogenen Daten erlassen, so beispielsweise 1974 
in den USA mit dem „Privacy Act“ (Leeb & Liebhaber, 2018, S. 535). Auch wenn es mit 
diesen Gesetzen für ihren jeweiligen Geltungsbereich erstmals allgemeine Regelun- 
gen zum Datenschutz gab, ist das Interesse dahinter keineswegs neu gewesen. So 
schreibt die erste Landesbeauftragte für den Datenschutz des Landes Baden-Würt- 
temberg, Dr. Ruth Leuze, in ihrem ersten Tätigkeitsbericht: „Ziel des Datenschutzes 
ist, in unserer hoch entwickelten Informationsgesellschaft den Mißbrauch persönli- 
cher Daten zu verhindern. [...] Datenschutz ist keine Modeerscheinung. Gewiß, die 
Terminologie ist neu. Seine Zielsetzung aber ist unserer Rechtsordnung - wenn auch 
nicht in voller Breite - seit langem vertraut. Zu ihrer Tradition gehören eine Vielzahl 


datenschutzrechtlicher Regelungen. Ich denke zum Beispiel an das Arzt-, Steuer-, 
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Bank- und Postgeheimnis [...].“ (Leuze, 1980, S. 7) Dass Datenschutz keine Modeer- 
scheinung war, kann über 30 Jahre nach dem Bericht beispielsweise durch die große 
gesellschaftliche Auseinandersetzung damit bestätigt werden. Bereits in diesen Ge- 
setzen waren die Grundsätze der Erforderlichkeit, der Sicherheit und der Transpa- 


renz enthalten (Leeb & Liebhaber, 2018, S. 535). 


Die Datenschutzgesetze wurden aufgrund des Volkszählungsurteils 1983 und der öf- 
fentlichen Diskussion nochmals vollständig überarbeitet, sodass 1990 ein neues Bun- 
desdatenschutzgesetz verabschiedet wurde (Hornung & Schnabel, 2009). Das 
Bundesverfassungsgericht hatte früh das „Allgemeine Persönlichkeitsrecht“ aus Arti- 
kel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes (GG) abgelei- 
tet; es lässt sich in die drei Schutzbereiche Selbstbewahrung, Selbstdarstellung und 
Selbstbestimmung untergliedern (Martini, 2009). Das allgemeine Persönlichkeits- 
recht beruht auf dem Recht zur freien Entfaltung der Persönlichkeit (Art. 2 Abs. 1 GG) 
und auf der Menschenwürde (Art. 1 Abs. 1 GG) und steht jeder Person zu. Die beiden 
Artikel des Grundgesetzes, aus denen dieses Recht abgeleitet ist, sind seit ihrer Be- 


kanntgabe am 23.05.1949 unverändert im Wortlaut: 


e „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist 
Verpflichtung aller staatlichen Gewalt.“ (Artikel 1 Absatz 1 Grundgesetz) 

e „Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er 
nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige 


Ordnung oder das Sittengesetz verstößt.“ (Artikel 2 Absatz 1 Grundgesetz) 


Aus dem Allgemeinen Persönlichkeitsrecht hat das Bundesverfassungsgericht 1983 
das Grundrecht auf informationelle Selbstbestimmung geschöpft!. Es wird dem 
Schutzbereich Selbstbestimmung des Allgemeinen Persönlichkeitsrechts zugeordnet. 


Die Beschwerdeführer der dem Urteil zugrunde liegenden Verfassungsbeschwerden 


1 Dies bedeutet, dass das Grundrecht nicht wortwörtlich im Grundgesetz enthalten ist, aber nach Recht- 
sprechung des Bundesverfassungsgerichtes aus dem Text abgeleitet werden kann. 
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im Speziellen und die Gesellschaft im Allgemeinen hatten befürchtet, dass die Volks- 
zählung „die Grundlage für eine schrankenlose, durch die automatisierte Verarbei- 
tung begünstigte Verknüpfung der unzähligen, von den verschiedensten staatlichen 
und privaten Stellen bereits gespeicherten Daten abgeben könnte“ (Simitis, 2014, Rn. 
28). Das Bundesverfassungsgericht hat diese Furcht ernst genommen und sich über 
den korrekten Sachverhalt der Volkszählung hinaus ausführlich damit auseinander- 
gesetzt, welche Anforderungen das Grundgesetz an die Erhebung, Speicherung und 
Verarbeitung personenbezogener Daten stellt (Simitis, 2014, Rn. 29). Das Volkszäh- 
lungsurteil ist daher auch für den heutigen Datenschutz noch von Bedeutung. Simitis 
(Simitis, 2014) hat acht Vorgaben für den Datenschutz aus dem Urteil vom 


15.12.1983 extrahiert: 


1. „Die Zulässigkeit der Verarbeitung ist [...] eine verfassungsrechtliche Frage“ 
(Rn. 30). 

2. Die Entscheidung, ob und in welchem Umfang Daten einer Person gespei- 
chert werden dürfen, muss zunächst der Person überlassen bleiben (Rn. 
31). Diese informationelle Selbstbestimmung schließt das Recht ein, die 
Verarbeitung einzuschränken beziehungsweise zu untersagen, aber eben 
auch, sie zu erlauben. 

3. Die informationelle Selbstbestimmung ist nicht uneingeschränkt gewähr- 
leistet, sie hat jedoch Priorität. Das bedeutet, dass der Einzelne nur „aus- 
nahmsweise übergangen werden darf, [...] lediglich in den Fällen, in denen 
ein ‚überwiegendes Allgemeininteresse‘ für eine Verarbeitung spricht“ (Rn. 
33). 

4. Einschränkungen der informationellen Selbstbestimmung, das heißt das 
Übergehen des Einzelnen (vgl. Punkt 3), sind für konkrete Anwendungen 
nur durch Gesetz möglich (Rn. 32). 

5. Das Kriterium für den Datenschutz ist die Personenbezogenheit - nicht die 
Art der Angaben (Rn. 34). 

6. Daten unterliegen einer strengen Zweckbindung, damit der Betroffene vor 


seiner Einwilligung beziehungsweise der Gesetzgeber vor Verabschiedung 
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des Gesetzes sich möglichst zuverlässig ein Bild von den möglichen Folgen 
der Verarbeitung machen können (Rn. 35). 

7. Eine Zweckentfremdung darf auch bei Weitergabe der Daten nicht stattfin- 
den. Ebenso innerhalb der Verwaltung muss der „Gesetzgeber [...] deshalb 
für einen ‚amtshilfefesten Schutz gegen die Zweckentfremdung‘ sorgen“ 
(Rn. 36). 

8. Da weder die betroffene Person noch der Gesetzgeber (je nachdem, ob die 
Verarbeitung aufgrund einer informationellen Selbstbestimmung oder ei- 
nes Gesetzes erfolgt) in der Lage ist, die technologische Weiterentwicklung 
immer zu verfolgen und dies durch die Komplexität der Verarbeitung bei 
sich regelmäßig verändernden Methoden weiter erschwert wird, ist die 
Kontrolle mittels einer „eigens dafür eingerichtete[n] Instanz“ vorgeschrie- 
ben. Diese unabhängige Instanz, der Datenschutzbeauftragte, soll zudem die 


Transparenz erhöhen. 


Das Volkszählungsurteil des Bundesverfassungsgerichtes ist folglich unter anderem 
bedeutsam, weil das so geschöpfte Grundrecht informationelle Selbstbestimmung 
den dazu notwendigen Datenschutz in der Verfassung verankert und den bisherigen 


Datenschutz um das neue Prinzip der Zweckbindung ergänzt. 


Auch innerhalb Europas hat der Datenschutz bereits eine längere Geschichte. Gola 
(Gola, 2018, Rn. 6) beschreibt den Artikel 8 der Europäischen Menschenrechtskon- 
vention vom 4. November 1950 als erste europäische verfassungsmäßige Bestim- 
mung mit Datenschutzbezug. Die Europäische Menschenrechtskonvention wurde 
nach und nach von allen 47 Mitgliedsstaaten (darunter auch alle EU-Mitglieder) rati- 
fiziert (Selmayr & Ehmann, 2017, Rn. 10). Artikel 8 bestimmt u. a. die Achtung des 
Privatlebens, der Wohnung und der Kommunikation. Der Artikel 8 basiert seinerseits 
wiederum auf Artikel 12 der Menschenrechtserklärung der Vereinten Nationen vom 


10. Dezember 1948. Der Europarat? hat ebenfalls verschiedene Übereinkommen zum 


2 Der Europarat ist kein Organ der Europäischen Union und daher nicht mit dem Europäischen Rat zu 
verwechseln. Er ist vielmehr ein von der Europäischen Union unabhängiger Zusammenschluss europä- 
ischer Staaten. Ihm gehört beispielsweise auch die Schweiz an. 
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Datenschutz geschlossen. Nach Gola (Gola, 2018, Rn. 8) ist das bedeutsamste und von 
allen Mitgliedsstaaten ratifizierte das „Übereinkommen zum Schutz der Menschen bei 
der automatischen Verarbeitung personenbezogener Daten“ von 1981. Dabei ging es 
nicht nur darum, ein festgelegtes Maß an Datenschutz in allen Mitgliedsstaaten, son- 
dern auch den freien Datenverkehr sicherzustellen (Selmayr & Ehmann, 2017, Rn. 
12). So heißt es in Artikel 12 Absatz 2 des Übereinkommens: „Eine Vertragspartei darf 
allein zum Zweck des Schutzes des Persönlichkeitsbereichs den grenzüberschreiten- 
den Verkehr personenbezogener Daten in das Hoheitsgebiet einer anderen Vertrags- 


partei nicht verbieten oder von einer besonderen Genehmigung abhängig machen.“ 


Die Europäische Union hat in der Charta der Grundrechte der Europäischen Union (in 
Kraft getreten am 1. Dezember 2009 zusammen mit dem Vertrag von Lissabon) eben- 
falls den Schutz personenbezogener Daten in primärem EU-Recht verankert. Zu- 
nächst ist Artikel 7 Absatz 1 fast wortgleich wie Artikel 8 Absatz 1 der Europäischen 
Menschenrechtskonvention von 1950. Artikel 8 der Charta der Grundrechte der Eu- 


ropäischen Union bestimmt dann: 


„Schutz personenbezogener Daten 

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen 
Daten. 

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit 
Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten, 
legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über 
die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu 
erwirken. 

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle über- 
wacht.“ 

Charta der Grundrechte der Europäischen Union, Fassung von 2016 (2016/C 
202/02) 


36 


3.1 Geschichte des Datenschutzrechtes 


Im europäischen Sekundärrecht gab es bereits früher Regelungen zur Harmonisie- 
rung des Datenschutzrechtes in Europa. Dies geschah zunächst durch zwei Richtli- 


nien: 


e Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 
24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung perso- 
nenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) 

e Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten 
und den Schutz der Privatsphäre in der elektronischen Kommunikation 
(Datenschutzrichtlinie für elektronische Kommunikation - ePrivacy-Richtli- 


nie) 


Diese galten beziehungsweise gelten (wie alle Richtlinien der EU) nicht unmittelbar 
in allen Mitgliedsstaaten, sondern sie müssen von diesen noch in nationales Recht 
umgesetzt werden. In Deutschland wurde beispielsweise das BDSG entsprechend an- 
gepasst. Da die Richtlinien nicht unmittelbar gelten und einige Mitgliedstaaten sehr 
große Spielräume bezüglich der Umsetzung sahen und auch nutzten, wurde ein ein- 
heitliches europäisches Datenschutzniveau damit nicht erreicht (Gola, 2018, Rn. 13). 
Dies ist eine der Ursachen für die Reform des europäischen Datenschutzes mithilfe 
einer Verordnung, das heißt mithilfe von unmittelbar in allen EU-Mitgliedsstaaten 
geltendem Recht. Eine Verordnung darf durch die Mitgliedsstaaten nicht modifiziert 
werden, jedoch gibt es die Möglichkeit, den Mitgliedsstaaten durch Öffnungsklauseln 
definierte Gestaltungsspielräume für nationales Recht zu schaffen (Wolf, 2017, Rn. 


218-221). 


Auch bei dieser Reform wurden wie bei dem Übereinkommen des Europarates von 
1981 und der Datenschutzrichtlinie der EU von 1995 zwei Zielsetzungen verfolgt 
(Selmayr & Ehmann, 2017, Rn. 18). So heißt es bereits in einer Mitteilung der Euro- 
päischen Kommission an das Europäische Parlament, den Europäischen Rat, den Eu- 
ropäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 
4. November 2010 bezüglich eines Gesamtkonzeptes für den Datenschutz in der Eu- 


ropäischen Union: „Die Datenschutzrichtlinie von 1995 war ein Meilenstein in der 
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Entwicklung der Datenschutzpolitik der Europäischen Union. Die Richtlinie bestätigt 
zwei der ältesten, gleichermaßen wichtigen Ziele des europäischen Integrationspro- 
zesses: Einerseits den Schutz der Grundrechte und der Grundfreiheiten des Einzel- 
nen, insbesondere des Grundrechts auf Datenschutz, und andererseits die Vollendung 
des Binnenmarktes - in diesem Fall den freien Verkehr personenbezogener Daten. 
Diese beiden Ziele sowie die Grundsätze der Richtlinie gelten fünfzehn Jahre später 


unverändert.“ (Europäische Kommission, 2010) 


Die EU-Kommission hat 2012 einen Vorschlag vorgelegt, der diesen beiden Zielen, 
das heißt dem Datenschutz und dem freien Datenverkehr innerhalb der EU, dient 
(Gola, 2018, Rn. 14+17). In den folgenden Jahren haben das Europäische Parlament 
und der Europäische Rat sich eigenständig damit auseinandergesetzt und Vorschläge 
erarbeitet. Im Rahmen eines 2015 begonnenen Trilogs einigten sich das Europäische 
Parlament, der Europäische Rat und die EU-Kommission dann auf einen gemeinsa- 
men Entwurf. Schließlich wurde am 14. April 2016 die „Verordnung (EU) 2016/679 
des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürli- 
cher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenver- 
kehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ 
vom Europäischen Parlament verabschiedet. Sie ist am 25. Mai 2016 in Kraft getreten 
und seit dem 25. Mai 2018 (nach einer Vorbereitungszeit von 2 Jahren) gültig (Gola, 
2018, Rn. 18+19). Die EU-DS-GVO besteht aus 99 Artikeln und 173 Erwägungsgrün- 


den?, 


Eine wesentliche Neuerung ist die verbesserte Durchsetzung eines durch die EU-DS- 
GVO, abgesehen von nationalen Gestaltungsspielräumen aufgrund der Öffnungsklau- 
seln, nun einheitlich für die ganze Europäische Union festgelegten Datenschutzrech- 
tes (Selmayr & Ehmann, 2017, Rn. 60). Die Durchsetzung wird beispielsweise 


aufgrund des nun festgelegten Marktortprinzips, der Schaffung eines europäischen 


3 Erwägungsgründe sind nicht selbst Verordnung - aber sie sind bei der Auslegung der Verordnung zu 
berücksichtigen. 
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Datenschutzausschusses und signifikant gestiegener Sanktionsmöglichkeiten bei Da- 
tenschutzverstößen verbessert (Selmayr & Ehmann, 2017, Rn. 68-74). Dazu kommen 
neue Regelungen wie das Recht auf Datenübertragbarkeit beziehungsweise Daten- 
portabilität (Art. 20 EU-DS-GVO), das Koppelungsverbot (Art. 7 Abs. 4 EU-DS-GVO) 
und die Rechenschaftspflicht (Art. 5 Abs. 2 EU-DS-GVO) (Selmayr & Ehmann, 2017, 
Rn. 64-66). Außerdem gibt es weiterentwickelte Regeln: So wurde der bisherige 
Löschanspruch zum Recht auf Vergessenwerden (Art. 17 EU-DS-GVO) weiterentwi- 
ckelt (Selmayr & Ehmann, 2017, Rn. 63). 


Die neue europäische Datenschutz-Grundverordnung hat notwendigerweise auch zu 
einem durch das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung 
(EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-An- 
passungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) neu gefassten Bundesdaten- 
schutzgesetz geführt. Auch weitere Gesetze wie beispielsweise 
Landesdatenschutzgesetze der Bundesländer oder kirchliche Datenschutzgesetze 


wurden angepasst (Kugelmann, 2018; Hoeren, 2018). 


Die Richtlinie 2002/58/EG - ePrivacy-Richtlinie - ist gegenwärtig weiter gültig. Sie 
soll zusammen mit der Richtlinie 2009/136/EG - Cookie-Richtlinie - durch eine ePri- 
vacy-Verordnung abgelöst werden. Die Trilog-Verhandlungen sollen nach Piltz (Piltz, 
2018) im 2. Halbjahr 2018 beginnen. Das bayerische Landesamt für Datenschutzauf- 
sicht hat eine Synopse der Vorschläge der EU-Kommission und des Europäischen Par- 
lamentes veröffentlicht und wird diese um den Vorschlag des Europäischen Rates - 
sobald verfügbar - ergänzen (Bayerisches Landesamt für Datenschutzaufsicht, 2018). 
Die ePrivacy-Verordnung soll „die besonderen Fragen des Datenschutzes bei der Ver- 
arbeitung elektronischer Kommunikations(meta-)daten im Zuge der Nutzung elekt- 
ronischer Kommunikationsdienste regeln.“ (Piltz, 2018) Nach den aktuellen 
Vorschlägen soll dabei auch der Datenschutz durch IP-basierte Dienste (Over-the- 
top-Dienste) und webbasierte E-Mail-Dienste geregelt werden. Damit „soll ein wirk- 
samer und einheitlicher Schutz der Endnutzer bei der Benutzung funktional gleich- 


wertiger Dienste gewährleistet werden“, so der Entwurf des Europäischen 
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Parlaments vom 23.10.2017 (zitiert nach Bayerisches Landesamt für Datenschutzauf- 
sicht, 2018). Die ePrivacy-Verordnung soll zusammen mit der EU-DS-GVO gelten und 
wird zu einer Anpassung oder Abschaffung des Telemediengesetzes in Deutschland 


führen. 


3.2 Bedeutung des Datenschutzes 


Bereits im Volkszählungsurteil von 1983 heißt es, dass das Recht auf informationelle 
Selbstbestimmung notwendig sei, da sonst „nicht nur die individuellen Entfaltungs- 
chancen des Einzelnen [beeinträchtigt würden], sondern auch das Gemeinwohl, weil 
Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs- und 
Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Ge- 
meinwesens ist. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den mo- 
dernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen 
unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönli- 
chen Daten voraus.“ (BVerfG, 1984, S. 43) Wenn das Grundrecht nicht gewährleistet 
sei, müsse der Bürger damitrechnen, dass das eigene Verhalten jederzeit erfasst, dau- 
erhaft gespeichert, analysiert, verwendet und/oder weitergegeben wird; dement- 
sprechend würde der Bürger sein Verhalten anpassen (BVerfG, 1984, S. 43). Durch 
Verknüpfen beziehungsweise Zusammenführen unterschiedlicher Datenbestände 
wird das Problem noch verstärkt. Das Recht auf informationelle Selbstbestimmung 
ist also ein für das Funktionieren unserer Demokratie notwendiges Grundrecht, und 
Datenschutz ist entsprechend auch notwendig, um eine freiheitliche Demokratie zu 


gewährleisten. 


Auch wenn die Gefahr der Erfassung, Speicherung, Analyse, Verwendung und Weiter- 
gabe des Verhaltens bereits im Volkszählungsurteil von 1983 beschrieben ist, so ist 
diese Gefahr heute noch akuter. Zu staatlichen Akteuren kommen privatwirtschaftli- 
che Akteure hinzu. So gehört es zum Geschäftsmodell von Konzernen wie Facebook 
und Google, Daten von Nutzern zu erfassen und diese zu analysieren, um den Nutzer 


besser zu kennen und dann dieses Wissen durch den Verkauf von individualisierter 


40 


3.2 Bedeutung des Datenschutzes 


Werbung zu monetarisieren (Kübler, 2018). Der Datenbestand wird aber nicht nur 
privatwirtschaftlich genutzt. Spätestens seit den PRISM-Enthüllungen durch Edward 
Snowden sei klar, „dass auch staatliche Stellen, insbesondere aus dem Kreis der Si- 
cherheitsbehörden, an den enormen privatwirtschaftlich angehäuften Informations- 
und Datenschätzen partizipieren.“ (Leutheusser-Schnarrenberger, 2017, S. 123). Eine 
Gefährdung der Demokratie entstünde aber nicht nur durch angepasstes Verhalten 
von Bürgern, sondern auch durch die „grundsätzliche Umgestaltung der Zivilgesell- 
schaft, der Wirtschaftssysteme und damit auch der Einflussmöglichkeiten der Politik 
durch die Digitalisierung“ (Leutheusser-Schnarrenberger, 2017, S. 125). Das Recht 
aufinformationelle Selbstbestimmung und der dazu notwendige Datenschutz können 


einen Beitrag leisten, die Gefährdung der Demokratie zu verringern. 


Es ist jedoch nicht nur die Funktionstüchtigkeit der Demokratie bedroht, mangelnder 
Datenschutz führt auch zu Nachteilen für den Einzelnen. Denn aktuelle und künftige 
Big-Data-Methoden können mit zunehmender Menge an verfügbaren Daten das 
menschliche Verhalten besser darstellen und genauer beziehungsweise zuverlässiger 
vorhersagen (Schaar, 2017b). Die Nachteile entstehen beispielsweise konkret durch 
Scoring-Verfahren, das heißt Verfahren zur Bewertung einer einzelnen Person, ggf. 
bezogen auf eine Vergleichsgruppe oder Gesamtheit, unter Nutzung von Big Data. 
Durch zunehmende Möglichkeiten der Auswertung von Big Data und der Erschlie- 
Bung von weiteren Datenquellen „werden immer mehr Lebensbereiche durch Score- 
Werte durchdrungen und bestimmen damit die rechtsgeschäftlichen Möglichkeiten 
der Betroffenen“ (Eschholz, 2017). Ein typischer Anwendungsfall von Scoring-Ver- 
fahren ist die Ermittlung der Kreditwürdigkeit. Die SCHUFA wollte bereits 2012 zu- 
sammen mit dem HPI untersuchen, wie Daten aus sozialen Netzwerken für die 
Berechnung des SCHUFA-Score genutzt werden könnten, hat es aber aufgrund öffent- 
lichen Drucks unterlassen (Eschholz, 2017). Facebook besitzt jedoch bereits ein Pa- 
tent, welches unter anderem die Verwendung von Daten aus sozialen Netzwerken 
und insbesondere die Information über dortige Beziehungen für Kreditentscheidun- 
gen nutzt (US9798777B2, 2017, Absatz 10). Auch andere ausländische Unternehmen 


wie beispielsweise Kreditech setzen Daten aus sozialen Netzwerken ein (Huch, 
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2016). Ein weiterer Anwendungsfall ist unter Einbeziehung von Datenquellen aus Fit- 
ness-, Verhaltens- und Gesundheitssensoren die Risikoermittlung für private Kran- 


kenversicherungen (Stach u. a., 2018). 


Datenbestände können auch zur Preisdiskriminierung eingesetzt werden. Preise kön- 
nen dann individualisiert werden. Durch Big Data stehen neben bisherigen Ansätzen 
wie Preisdiskriminierung nach Zeit, Ort, Vertriebskanal und ggf. Rabattgruppe (Stu- 
dierendenrabatt) weitere Datenquellen zur Verfügung, um die individuelle Zahlungs- 
bereitschaft eines Interessenten möglichst vollständig auszuschöpfen (Schleusener, 


2017). 


Dabei stehen technisch immer mehr Daten zur Verfügung, weil in vielen Lebensberei- 
chen manuelle Systeme durch automatisierte/rechnergestützte Systeme ersetzt wer- 
den (Schaar, 2017b). Diese elektronischen Systeme sind in vielen Fällen vernetzt, der 
Begriff „Internet der Dinge“ ist zum Schlagwort hierfür geworden. Selbst ein Bürger, 
welcher auf soziale Netzwerke wie Facebook, Twitter, Instagram, Xing und viele mehr 
verzichtet und Messenger wie WhatsApp nicht einsetzt, wird so durch zunehmend 
mehr Stellen digital erfasst. Selbst durch einen Verzicht auf Smartphone, Notebook 
und Internet würde sich dieser Bürger aufgrund elektronischer Ticketautomaten, di- 
gitaler Kassensysteme und Zahlungswege, intelligenter Autos und smarter Fernseher 
laut Schaar (Schaar, 2017b) der Erfassung von Daten über sich nicht entziehen kön- 
nen. Selbst wenn man diese Ansicht nicht teilt, ist klar, dass über die meisten Perso- 
nen aufgrund der fortschreitenden Digitalisierung und der eigenen 
Lebensgewohnheiten (Nutzung von Smartphone und Kreditkarte, Nutzung von Ra- 
battsystemen, Nutzung von digitalen Plattformen wie Amazon, eBay, AirBnB ...) viele 
Daten technisch erfassbar sind. Hinzu kommt die weitere Verschiebung der Macht- 
verhältnisse aufgrund von Lock-in-Effekten. Im Gegensatz zu normalem Telefon, 
World Wide Web, SMS oder klassischen E-Mails mit offenen Standards setzten neue 
Messengerdienste wie WhatsApp oder soziale Netzwerke wie Facebook oder Linke- 
dIn auf geschlossene Systeme. Der Nutzer solcher Dienste hat einen Anreiz, selbst 


möglichst Dienste mit großen Netzwerken zu nutzen, da sein individueller Nutzen 
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dadurch steigt (Schaar, 2017b). Bei späteren Wechseln wird der Effekt noch dadurch 
verstärkt, dass der Nutzer erneut seine digitalen Freundschaftsbeziehungen 
(Freunde, Follower ...) aufbauen muss beziehungsweise seine alten Freundschaftsbe- 
ziehungen überreden muss, zusammen mit ihm umzuziehen. In der Praxis muss ein 
Nutzer, der einen geschlossenen Messenger wechseln möchte, seine Freunde über- 
zeugen, den neuen Messenger auch einzusetzen oder auf den jeweiligen Kommunika- 
tionskanal oder gar den ganzen Kontakt zu verzichten. Dieser Lock-in-Effekt* 
verstärkt die Kundenbindung und „ermöglicht es den Unternehmen [Anbietern], den 
Mitgliedern [Nutzern] einseitig die Bedingungen zu diktieren, unter denen ihre Daten 
verarbeitet und ausgewertet werden“ (Schaar, 2017b, S. 109). Unter diesen Umstän- 
den ist ein effektiver Verbraucherdatenschutz schwer zu gewährleisten, weil sich An- 


bieter vielfach auf die erteilten Einwilligungen berufen. 


Dadurch nimmt die Datenbasis für Big-Data-Analysen weiter zu. 2014 betrug laut Hil- 
bert (Hilbert, 2015) die weltweite Speicherkapazität 4,6 Zettabytes? und ist seit 1986 
jährlich um durchschnittlich 31 % gewachsen. 2002 waren gemäß der Studie erst- 
mals mehr mediatisierte Informationen digital gespeichert als analog verfügbar wa- 
ren, 2014 wurden nur noch 0,5 Prozent der neu erzeugten mediatisierten 
Informationen ausschließlich analog gespeichert. Hinzu kommt, dass auf digitale In- 
formationen in vielen Fällen aufgrund vernetzter Infrastrukturen unabhängig von 


Zeit und Raum zugegriffen werden kann (Schaar, 2017b). 


Auch aufgrund der fortschreitenden Digitalisierung und der scheinbar unbegrenzten 
Speichermöglichkeiten ist das Grundrecht aufinformationelle Selbstbestimmung und 
daher auch das Instrument des Datenschutzes also wie dargestellt sowohl für eine 


freiheitliche, demokratische Gesellschaft als auch für den Einzelnen notwendig. 


* Der Lock-in-Effekt wird auch noch durch weitere Aspekte verstärkt. Dazu gehört beispielsweise das 
bisherige Kommunikationsarchiv in Messengersystemen oder die bereits erstellten Beiträge, Bilderga- 
lerien usw. in sozialen Netzwerken. 

5 1 Zettabyte = 102! Bytes 
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Unabhängig von anderen aktuell diskutierten Instrumenten, um nachteilige Effekte 
durch mangelnden Datenschutz beziehungsweise große Datenmacht auszugleichen 
(beispielsweise „Zugang zum ‚Datenschatz‘ nach der Essential-facilities-Doktrin“ 
(Körber, 2016, S.96)), muss auch der Datenschutz weiterentwickelt beziehungsweise 
durchgesetzt werden, da er ebenfalls ein wichtiges und aktuell auch das am weitesten 


entwickelte Instrument darstellt. 


Nach Bizer (Bizer, 2007) kann und muss der Staat seiner Schutzpflicht hinsichtlich 


des Datenschutzes durch vier Säulen nachkommen. 


Datenschutz durch Recht 
Datenschutz durch Technik 


Datenschutz als Wettbewerbsfaktor 


BSD S 


Datenschutz durch Prozessmanagement 


Dabei stehen ihm unterschiedliche Instrumente von der Gesetzgebung bis hin zu För- 
dermaßnahmen zur Verfügung. Ein Beispiel für Datenschutz durch Technik ist das 
durch die Baden-Württemberg-Stiftung finanzierte Projekt „Anwendung zur Vertei- 
lung und Auswahl rechtskonformer Datenschutzeinstellungen“ (AVARE). Dabei 
wurde mithilfe aktueller technischer Möglichkeiten unter Beachtung des derzeitigen 
Rechtsrahmens (Alpers, Pieper & Wagner, 2017) eine Lösung zur informationellen 
Selbstbestimmung für Bürger (Alpers, Oberweis, u. a., 2017) geschaffen. Die vorlie- 
gende Arbeit versteht sich dagegen als Beitrag zur vierten Säule „Datenschutz durch 


Prozessmanagement“. 


Auch weil der Staat seine Schutzpflicht weiter wahrnehmen wird und beispielsweise 
mit der EU-DS-GVO gerade den Datenschutz weiter gestärkt hat, muss es im Interesse 
der Unternehmen sein, Datenschutz zu beachten. Dabei gilt es, die Chancen von Big 
Data beziehungsweise einer intelligenten Datenverarbeitung unter Einhaltung der 
Datenschutzbestimmungen und insbesondere des Rechtes aufinformationelle Selbst- 
bestimmung zu nutzen. Diese Arbeit möchte hierzu durch Bereitstellen neuer Ansätze 


einen Beitrag leisten. 


44 


3.3 Anwendungsbereich EU-DS-GVO 


3.3 Anwendungsbereich EU-DS-GVO 


Der Anwendungsbereich muss einerseits sachlich (Wer ist geschützt? Was ist ge- 
schützt?) nach Artikel 2 EU-DS-GVO und andererseits räumlich (Wo gilt der Schutz?) 
nach Artikel 3 EU-DS-GVO abgegrenzt werden. 


3.3.1 Sachlicher Anwendungsbereich 


Das Recht aufinformationelle Selbstbestimmung als Teil des Allgemeinen Persönlich- 
keitsrechts schützt natürliche Personen (Schild, 2018). Jeder Mensch ist eine natürli- 
che Person. Von der EU-DS-GVO nicht ausdrücklich geschützt sind juristische 
Personen. Ein Schutz aus dem Allgemeinen Persönlichkeitsrecht könnte nach Art. 19 
Abs. 3 GG evtl. auf juristische Personen übertragen werden. Eine pauschale Anwen- 
dung scheidet nach Martini (Martini, 2009) jedoch aus, weil das Grundrecht die Per- 
sönlichkeitsentfaltung schützt, welche natürlichen Personen vorbehalten ist. 
Allerdings könnte der Schutz dort wesensgleich auf eine juristische Person angewen- 
det werden, „wo sich die für eine juristische Person agierenden natürlichen Personen 
in einer grundrechtstypischen Gefährdungslage befinden“ (Martini, 2009). Auch 
Ziebarth (Ziebarth, 2017, Rn. 13) beschreibt im Rahmen eines Kommentares zur EU- 
DS-GVO, dass „Daten, die sich auf juristische Personen oder (sonstige) Personenver- 
einigungen beziehen“, keine personenbezogenen Daten sind. Allerdings kann es Da- 
ten geben, die sich zwar „unmittelbar auf eine juristische Person“ beziehen, aber 
gleichzeitig auch eine natürliche Person betreffen. Ein Beispiel hierfür sind Daten zu 


einer „Einpersonengesellschaft“. 
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Staat 


Organisationen 


natürliche Person 


Schädigung, Erpressung, 
Diebstahl von Informatio- 
nen, IT-Terrorismus 


Schädigung, Erpressung, 
Diebstahl von Informatio- 
nen, IT-Terrorismus 


Schädigung, Erpressung, 
Rufmord 


natürliche Person 


Politische Sabotage, 
Erreichen eines Informati- 
onsvorsprungs 


Wirtschaftliche und 
technische Spionage, 
Sabotage 


Erfassung von Personen 
und Verhalten, Überwa- 
chung von Mitarbeiten- 
den 


Organisationen 


Wer bedroht? 


Wirtschaftliche, techni- 
sche und militärische 
Spionage, Sabotage, 
Angriffe auf die IT 


Wirtschaftliche und 
technische Spionage 


Staatliche Überwachung, 
Erfassung und Druckaus- 
übung auf politisch 
Andersdenkende 


Staat 


Abbildung 2: Dateninteressent und dadurch in ihren Rechten bedrohte Datenquelle 


Grafische Darstellung basiert auf (Ström, 2005); Schutznormen wurden ergänzt. 


Verstorbene Personen schützt die EU-DS-GVO ebenfalls nicht - jedoch können diese 


durch nationales Recht geschützt sein beziehungsweise werden (Ziebarth, 2017, Rn. 


11). Dagegen sind ungeborene Embryos (und die sie betreffenden Daten) in jedem 


Fall geschützt, wobei es unterschiedliche Argumentationen gibt. Teils wird ein eigen- 


ständiger Datenschutz angenommen, teils wird er daraus abgeleitet, dass sich die Da- 


ten des ungeborenen Kindes immer auch auf die Mutter beziehen (Ziebarth, 2017, Rn. 
12). 


46 


3.3 Anwendungsbereich EU-DS-GVO 


Aber auch Organisationen und der Staat besitzen Daten, die selbst ohne Bezug zu ei- 
ner natürlichen Person schützenswert sind. Diese werden zwar nicht durch das Da- 
tenschutzrecht beschirmt - es gibt jedoch andere Rechtsgrundlagen für ihren Schutz. 


Dies ist in Abbildung 2 dargestellt. 


Abbildung 2 zeigt auch die unterschiedlichen Akteure. Zwar hat das Datenschutzrecht 
seine Ursprungsmotivation im Schutz der natürlichen Personen vor dem Staat (Ursa- 
che des Volkszählungsurteils von 1983), jedoch entfaltet beispielsweise die EU-DS- 
GVO auch Schutz gegenüber missbräuchlicher Erhebung, Speicherung und Verarbei- 


tung durch weitere Akteure. 


Auch wenn es um die Verarbeitung personenbezogener Daten von natürlichen Per- 
sonen geht, gibt es im sachlichen Anwendungsbereich Ausnahmen. Ein Beispiel ist die 
Verarbeitung zu persönlichen und familiären Zwecken: „Diese Verordnung findet 
keine Anwendung auf die Verarbeitung personenbezogener Daten [...] c) durch na- 
türliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkei- 
ten“ (Artikel 2, Absatz 2, EU-DS-GVO). Auf diese Ausnahme des 
Anwendungsbereiches können sich jedoch als Verantwortliche nur natürliche Perso- 
nen berufen, für juristische Personen wie Unternehmen und Vereine gilt diese Aus- 
nahme nicht (Kühling & Raab, 2018, Rn. 23). Damit sich natürliche Personen auf diese 
Ausnahme berufen können, darf es keinen „Bezug zu einer beruflichen oder wirt- 
schaftlichen Tätigkeit“ (Erwägungsgrund 18, EU-DS-GVO) geben. Die EU-DS-GVO gilt 
sehr wohl für „die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente 
für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiä- 
ren Tätigkeiten bereitstellen“ (Erwägungsgrund 18, EU-DS-GVO). Damit ist die Aus- 
nahme eng gefasst. Allerdings umfasst der Begriff „persönliche oder familiäre 
Tätigkeiten“ nicht nur familiäre Tätigkeiten im Sinne eines formalen Verwandt- 
schaftsverhältnisses, sondern ist im Sinne der anderen Sprachfassungen der EU-DS- 
GVO haushaltsbezogener zu verstehen (Kühling & Raab, 2018, Rn. 23). Dabei ist noch 


nicht klar, was alles unter „private und familiäre Tätigkeiten“ zu erfassen ist. Typische 


47 


3 Grundlagen: Datenschutz 


Beispiele dürften „Daten zur eigenen Freizeitgestaltung, zu Hobbys, Urlaub, Unterhal- 
tung, also etwa Adressen und Kontaktdaten (auch elektronisch), Geburtstage [... und 


andere] Jubiläen“ (Ernst, 2018, Rn. 18) sein. 


Die EU-DSG-VO dient also dem Schutz von natürlichen Personen vor den Gefahren 
durch die Verarbeitung ihrer personenbezogenen Daten. Um den sachlichen Anwen- 
dungsbereich zu bestimmen, muss noch geklärt werden, was personenbezogene Da- 
ten sind. Die EU-DSG-VO enthält in Artikel 4 Begriffsbestimmungen. Dort werden 


auch personenbezogene Daten legal definiert: 


Definition 3.1: 

personenbezogene Daten 

„Im Sinne dieser Verordnung bezeichnet der Ausdruck [...] ‚personenbezogene 
Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare na- 
türliche Person (im Folgenden „betroffene Person”) beziehen; als identifizierbar 
wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mit- 
tels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu 
Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonde- 
ren Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psy- 
chischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen 
Person sind, identifiziert werden kann;“ (Artikel 4, Nummer 1, EU-DS-GVO) 


„Information“ bezeichnet nach Klabunde (Klabunde, 2017, Rn. 7) „nicht nur Aussagen 
zu überprüfbaren Eigenschaften oder sachlichen Verhältnissen der betroffenen Per- 
son [...], sondern auch Einschätzungen und Urteile über sie“. Es kommt dabei ferner 
nicht auf den Wahrheitsgehalt, die Art der Feststellung (Positiv- beziehungsweise Ne- 
gativaussagen) oder das Datenformat an (Klabunde, 2017, Rn. 7). 


Es wurde bereits erörtert, was eine „natürliche Person“ ist. Jeder Mensch ist eine na- 
türliche Person. Insbesondere der Staat, Gesellschaften wie als Aktiengesellschaft o- 
der GmbH organisierte Unternehmen, als eingetragener Verein organisierte Vereine 


und Stiftungen sind als juristische Personen keine natürlichen Personen. 


48 


3.3 Anwendungsbereich EU-DS-GVO 


Die Bestimmbarkeit (alter Begriff aus dem BDSG bis 2018) beziehungsweise Identifi- 
zierbarkeit (Begriff der EU-DS-GVO) kann mit verschiedenen Mitteln erfolgen. Diese 
zu berücksichtigenden Mittel reichen bei der sogenannten Objektiven Theorie von 
den der speichernden Stelle zur Verfügung stehenden Mitteln (Bergt, 2015, S. 365f., 
Ansatz 1) bis hin zur sog. Objektiven Theorie mit allen möglichen Mitteln (Bergt, 
2015, S. 366, Ansatz 3). Gemäß der EU-DS-GVO ist es nicht entscheidend, ob der Ver- 
antwortliche selbst die Zuordnung zu einer natürlichen Person herstellen kann, es 
genügt, wenn die Zuordnung für irgendjemand möglich ist. „Um festzustellen, ob eine 
natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von 
dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahr- 
scheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifi- 
zieren“ (Erwägungsgrund 26, EU-DS-GVO). Das allgemeine Ermessen wird weder 
durch den Erwägungsgrund noch durch die Berücksichtigung von Kosten, zeitlichem 
Aufwand, verfügbarer Technologie und technologischer Entwicklung konkretisiert. 
Dadurch ist die Zuordnungsmöglichkeit nicht statisch gegeben oder nicht gegeben, 
sondern sie kann sich durch technologischen Fortschritt hin zu einer Zuordnungs- 
möglichkeit verändern (Klabunde, 2017, Rn. 13). Damit ist der Verordnungsgeber ei- 
ner vermittelnden Theorie gefolgt (Bergt, 2015, S. 366f., Ansatz 4). 


Dabei ist es nicht erheblich, ob die Zuordnung zu einer identifizierten beziehungs- 
weise identifizierbaren natürlichen Person mittels einer Kennung (das heißt einem 


Identifikator) wie 


e Namen (beispielsweise Vor- und Nachname) 

e  _Kennnummer (beispielsweise Personalausweisnummer, Sozial-versiche- 
rungsnummer, Mitarbeiterstammnummer) 

e  Standortdaten (beispielsweise Wohnanschrift) 


e  Online-Kennung (beispielsweise E-Mail-Adresse oder IP-Adresse®) 


6 Selbst dynamische IP-Adressen sind nach einer Entscheidung des Europäischen Gerichtshofs vom 
19.10.2016 personenbezogene Daten, weil die Zuordnung zu einer Person mithilfe des Internetprovi- 
ders (ggf. mithilfe staatlicher Stellen) möglich ist (EuGH, 19.10.2016 - C-582/14, 2016). 
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erfolgt oder durch Zuordnung „zu einem oder mehreren besonderen Merkmalen, die 
Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftli- 
chen, kulturellen oder sozialen Identität“ einer Person sind. Im Ergebnis führt sowohl 
die Kennung/der Identifikator als auch die in einem Kontext einmalige Merkmalkom- 


bination zu einer Identifikation. 


Die Anwendbarkeit der EU-DS-GVO wird durch Pseudonymisierung nicht beeinträch- 
tigt. In den Erwägungsgründen heißt es dazu: „Einer Pseudonymisierung unterzo- 
gene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen 
einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über 
eine identifizierbare natürliche Person betrachtet werden.“ (Erwägungsgrund 26, 
EU-DS-GVO). Eine Anonymisierung, also eine endgültige Entfernung aller Möglichkei- 
ten zur Identifizierbarkeit und das Vernichten des Originalbestandes (mit Personen- 
bezug) beendetjedoch den Personenbezug und damit die Anwendbarkeit der EU-DS- 
GVO (Klabunde, 2017, Rn. 16). 


3.3.2 Räumlicher Anwendungsbereich 


Zunächst gilt das aus der bisherigen europäischen Datenschutzrichtlinie bekannte 
Niederlassungsprinzip weiterhin. So bestimmt die EU-DS-GVO: „Diese Verordnung 
findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im 
Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auf- 
tragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der 


Union stattfindet.“ (Artikel 3, Absatz 1, EU-DSG-VO) 


Der räumliche Anwendungsbereich hat gegenüber der bisherigen Datenschutzricht- 
linie allerdings aufgrund des in Artikel 3, Absatz 2 eingeführten Marktortprinzips 
stark zugenommen: „Diese Verordnung findet Anwendung auf die Verarbeitung per- 
sonenbezogener Daten von betroffenen Personen, die sich in der Union befinden, 
durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsver- 
arbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, a) betroffenen 


Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, 
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ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten be- 
troffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.“ (Artikel 
3, Absatz 2, EU-DS-GVO) Demnach kommt es nicht darauf an, wo die Datenverarbei- 
tung erfolgt. Wenn sich ein Angebot an Personen innerhalb der EU richtet oder Per- 
sonen innerhalb der EU beobachtet werden, ist die EU-DS-GVO selbst dann 
anwendbar, wenn das Unternehmen keine Niederlassung innerhalb der EU hat. Auch 
wenn dieses Prinzip keine europäische Besonderheit ist, sondern sich in ähnlicher 
Form beispielsweise auch im amerikanischen oder auch japanischen Recht findet 
(Klar, 2018, Rn. 7), ist die globale Durchsetzbarkeit eine Herausforderung. Diese be- 
steht weiterhin. Der Verordnungsgeber versucht beispielsweise durch die Pflicht zur 
Benennung eines Vertreters innerhalb der EU, die Durchsetzbarkeit der EU-DS-GVO 
zu verbessern (Klar, 2018, Rn. 27). 


3.4 Grundsätze des Datenschutzes der EU-DS-GVO 


Die Europäische Datenschutz-Grundverordnung regelt in Artikel 5 neun Grundsätze 
für die Verarbeitung personenbezogener Daten. Die Grundsätze sind als allgemeine 
Strukturprinzipien formuliert, Verstöße dagegen werden „besonders scharf“ sankti- 
oniert (Pötters, 2018, Rn. 4). Diese sind zunächst in Abbildung 3 dargestellt und wer- 
den im Folgenden näher erläutert. Dabei werden Grundsätze, welche durch den 


modellbasierten Ansatz dieser Arbeit adressiert werden, ausführlicher thematisiert. 


3.4.1 Rechtmäßigkeit 


Um die Anforderung der Rechtmäßigkeit aus Art. 5, Abs. 1 lit. a, EU-DSG-VO genauer 
zu analysieren, kann der 40. Erwägungsgrund zur EU-DS-GVO herangezogen werden: 
„Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Ein- 
willigung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrund- 
lage verarbeitet werden [...]“ (Erwägungsgrund 40, EU-DSG-VO, Unterstreichung hier 


vorgenommen). Für eine rechtmäßige Verarbeitung ist also die Einwilligung der be- 
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troffenen Person oder eine andere Rechtsgrundlage, ein sogenannter Erlaubnistatbe- 
stand, erforderlich. In Deutschland wurde dieses Prinzip bisher als „Verbot mit Er- 
laubnisvorbehalt“ bezeichnet (Pötters, 2018, Rn. 6). Die Erlaubnistatbestände 
werden in den Artikeln 6 (Rechtmäßigkeit der Verarbeitung) und 9 (Verarbeitung be- 
sonderer Kategorien personenbezogener Daten) aufgelistet, zusätzlich sind im natio- 
nalen Recht Erlaubnistatbestände möglich, soweit die EU-DSG-VO diese durch eine 
entsprechende Öffnungsklausel erlaubt (Pötters, 2018, Rn. 6). Durch diese Regelung 
wird, so Pötters, das häufiger im öffentlichen Recht anzutreffende Prinzip ungewöhn- 
licherweise auch in das Zivilrecht übertragen und somit faktisch ein Erhebungs- und 
Verarbeitungsverbot für staatliche und privatwirtschaftliche Akteure mit klar defi- 


nierten Ausnahmen geschaffen. 


Verarbeitung personenbezogener Daten 
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Grafische Darstellung mithilfe einer Vorlage von shutterstock.com/K.Sorokin 


a] 
Grundsätze nach Artikel 5 EU-DS-GVO 


Abbildung 3: Grundsätze zur Verarbeitung personenbezogener Daten nach Artikel 5 EU-DSG-VO 


Die Einwilligung ist im Falle der Verarbeitung personenbezogener Daten durch Un- 
ternehmen und sonstige nicht staatliche Akteure der relevanteste Erlaubnistatbe- 
stand (Buchner & Kühling, 2017, S. 544). So bezeichnen ihn Wendehorst & 
Westphalen (Wendehorst & Westphalen, 2016, S. 3745) als den „wichtigste[n] Recht- 
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fertigungsgrund“. Auch wenn Schulz (Schulz, 2018b, Rn. 4) dieser Bezeichnung wi- 
derspricht, ist die Bedeutung für die Praxis aufgrund einer hohen Zahl an Anwen- 


dungsfällen gegeben. Einwilligung wird in der EU-DSG-VO definiert: 


Definition 3.2: 

Einwilligung 

„Im Sinne dieser Verordnung bezeichnet der Ausdruck: [...] ‚Einwilligung‘ der be- 
troffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und 
unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder 
einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Per- 
son zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden perso- 
nenbezogenen Daten einverstanden ist;“ (Artikel 4, Nummer 11, EU-DSG-VO) 


Aufgrund der besonderen Relevanz der Einwilligung auch für die Gestaltung der Ge- 
schäftsprozesse (beispielsweise hinsichtlich des Einwilligungszeitpunktes auch als 
häufiger Erlaubnistatbestand) wird diese hier ausführlicher betrachtet. Die EU-DS- 


GVO stellt insbesondere folgende Anforderungen an die Einwilligung: 


e Vor oder bei Einholung einer Einwilligung muss die betreffende Person in- 
formiert werden. Dabei müssen insbesondere auch folgende Informationen 
gegeben werden: 

o Der Betroffene muss über die Zwecke informiert werden, er gibt 
dann die Einwilligung für „einen oder mehrere bestimmte Zwecke“ 
(Art. 6, Abs. 1, lit. a, EU-DS-GVO). Die Zwecke müssen „so konkret 
wie möglich benannt werden“ (Schulz, 2018a, Rn. 24). 

o Dazu muss der Betroffene auch wissen, auf welche Daten sich die 
Einwilligung beziehen soll. 

o Der Betroffene sollte zudem mindestens darüber informiert wer- 
den, wer der Verantwortliche der Verarbeitung ist (Erwägungs- 


grund 42, EU-DS-GVO). 
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o Der Betroffene muss über die Möglichkeit des Widerrufs und die 
Folgen des Widerrufs der Einwilligung informiert werden (Schulz, 
2018b, Rn. 34). 

Der Verantwortliche sollte nachweisen können, dass der Betroffene einge- 
willigt hat (Erwägungsgrund 42, EU-DS-GVO). Gleichwohl ist keine Schrift- 
form vorgeschrieben; so sind beispielsweise auch konkludente 
Einwilligungen - also Einwilligungen durch schlüssiges Handeln - möglich 
(Schulz, 2018b, Rn. 42). Allerdings sind weder Stillschweigen noch Opt-out- 
Verfahren (Kreuz aus einem Kästchen entfernen oder das Setzen eines 
Kreuzes, um mitzuteilen, dass nicht eingewilligt wird) zulässig (Schulz, 
2018b, Rn. 42). 

Die Einwilligung muss freiwillig erfolgen (Art. 11, Nr. 11 EU-DS-GVO), es 
darf kein Druck ausgeübt oder Zwang eingesetzt werden (Schulz, 2018b, 
Rn. 21). Genauer wird dies im 42. Erwägungsgrund beschrieben: „Es sollte 
nur dann davon ausgegangen werden, dass sie [die Person] ihre Einwilli- 
gung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und so- 
mitin der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, 
ohne Nachteile zu erleiden“ (Erwägungsgrund 42, EU-DS-GVO). 

o Die Einwilligung soll für den Fall eines klaren Ungleichgewichtes 
zwischen dem Verantwortlichen und dem Betroffenen zu keinem 
gültigen Erlaubnistatbestand führen (Erwägungsgrund 43, EU-DS- 
GVO). Da der Erwägungsgrund explizit den Fall einer Behörde er- 
wähnt, geht Schulz (Schulz, 2018b, Rn. 23) davon aus, dass der Ver- 
ordnungsgeber rechtliche Abhängigkeitsverhältnisse regeln wollte. 
Diese könnten beispielsweise noch in Arbeitsverhältnissen oder bei 


akuten Behandlungen durch Krankenhäuser/Ärzte vorliegen”. 


7 Nach Schulz (Schulz, 2018b, Rn. 23) sollte dies besser durch einen anderen - gesetzlichen - Erlaubnis- 
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o Die Bedingung der Freiwilligkeit wird auch durch das Kopplungs- 
verbot in Art. 7 Abs. 4 EU-DS-GVO weiter gestärkt. Die Formulie- 
rung „im größtmöglichen Umfang“ (Art. 7, Abs. 4, EU-DS-GVO) lässt 
erkennen, dass das Kopplungsverbot nicht absolut ist (Schulz, 
2018b, Rn. 26)8. Im Allgemeinen darf aber bei einem Dienstleis- 
tungsvertrag keine Einwilligung abverlangt werden, die zur Erbrin- 
gung der Dienstleistung nicht erforderlich ist (Ernst, 2017, S. 112). 
Zum Kopplungsverbot gehört nach Erwägungsgrund 43 das Verbot, 
zu verschiedenen Verarbeitungsvorgängen nur zusammen eine 
Einwilligung zu verlangen, obwohl die Trennung angebracht wäre 
(Schulz, 2018b, Rn. 25). Damit soll der Betroffene in eine Verarbei- 
tung einwilligen, die andere Einwilligung aber versagen können. 

e Die Einwilligung muss von der betroffenen Person höchstpersönlich er- 
klärt werden (Ernst, 2017, S. 111). Es ist nicht möglich, eine Einwilligung 
für Dritte abzugeben. So ist es beispielsweise auch nicht möglich, für einen 
Adressbuchkontakt gegenüber einem Messenger die Einwilligung zu ertei- 
len (Schulz, 2018b, Rn. 8). Bezüglich der Einwilligung von Minderjährigen 
(hier relevant sind Minderjährige unter 16 Jahren) enthält Art. 8 EU-DS- 
GVO zwei Möglichkeiten: Entweder die Eltern (Erziehungsberechtigten) 


willigen für den Minderjährigen ein oder der Minderjährige willigt selbst 


8 


Ein Beispiel, das die Schranken des Kopplungsverbots verdeutlicht, ist die Beachtung der Interessen 
und insbesondere des Geschäftsmodells des Verantwortlichen. So soll es weiter möglich sein, einen 
Dienst zu erbringen, der „nur [...] durch die - einwilligungsbasierte - Verarbeitung der Nutzerdaten 
(auch) zu Werbezwecken Dritter“ (Schulz, 2018b, Rn. 27) finanzierbar ist. Die Erbringung solcher 
Dienste soll auch weiterhin (ohne Bezahlschranken) möglich sein (so auch Datenschutzkonferenz der 
unabhängigen Datenschutzbehörden des Bundes und der Länder, 2017). Das Beispiel von verschiede- 
nen Zeitungswebseiten zeigt aktuell aber bereits die Möglichkeit, dem Nutzer die Wahl zu geben, ent- 
weder eine entsprechende Einwilligung zu erteilen oder für den Inhalt zu bezahlen. 

Schulz (Schulz, 2018b, Rn. 31) nimmt für einige Fälle (beispielsweise kostenloses E-Mail-Konto mit Ge- 
genfinanzierung durch individualisierte Werbung) hier keine einwilligungsbasierte Datenverarbeitung 
an, sondern geht davon aus, dass es sich um ein „synallagmatisches vertragliches Austauschverhältnis 
([... Dienst] gegen die Möglichkeit der Datennutzung)“ (Schulz, 2018b, Rn. 30) handelt. Dann kann mit 
Erwägungsgrund 44 gelten: „Die Verarbeitung von Daten sollte als rechtmäßig gelten, wenn sie für die 
Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist“ (Erwägungsgrund 44, EU-DS- 
GVO). Das hat auch den Vorteil, dass die betroffene Person die Einwilligung nicht widerrufen (und wei- 
ter die Leistungen beziehen) kann, sondern den Vertrag insgesamt kündigen muss. 
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ein und die Eltern geben vorher dazu ihre Einwilligung oder willigen nach- 
träglich in Form einer Zustimmung ein (Schulz, 2018c, Rn. 17). 

e Die EU-DSG-VO unterscheidet besondere Kategorien personenbezogener 
Daten von normalen personenbezogenen Daten. Im Rahmen von Geschäfts- 
prozessen müssen die Kategorien auch unterschieden werden, weil unter- 
schiedliche Verarbeitungsbedingungen gelten. Die besonderen Kategorien 


sind wie folgt definiert: 


Definition 3.3: 

besondere Kategorien personenbezogener Daten 

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethni- 
sche Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeu- 
‚gungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die 
Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identi- 
fizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualle- 
ben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“ (Art. 
9, Abs. 1, EU-DSG-VO) 


Auch dieses Verbot wurde als Verbot mit Erlaubnisvorbehalt ausgestaltet. So heißt 
es: „[Artikel 9] Absatz 1 gilt nicht in folgenden Fällen: a) Die betroffene Person hat in 
die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere 
festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem 
Recht der Mitgliedstaaten kann das Verbot nach [Artikel 9] Absatz 1 durch die Ein- 
willigung der betroffenen Person nicht aufgehoben werden [...]“ (Art. 9, Abs. 2, EU- 
DS-GVO). Einen Erlaubnistatbestand bildet also wieder die Einwilligung. An sie sind 


jedoch zusätzlich besondere Bedingungen geknüpft. Dazu gehören: 


e _Unionsrecht oder nationales Recht können für bestimmte Fälle vorsehen, dass 
eine Einwilligung das Verbot nicht aufgeben kann. Dadurch ist es möglich, den 
Datenschutz - auch in einzelnen Mitgliedsstaaten - für diese besonderen Kate- 


gorien weiter zu schärfen (Schulz, 2018d, Rn. 19). 
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e Die Einwilligung muss „ausdrücklich“ sein. Der Verordnungsgeber wollte damit 
eine besonders hohe Hürde schaffen, wie genau diese ausgestaltet sein soll, ist 


jedoch unklar (Schulz, 2018d, Rn. 16). 


Die Weiterverarbeitung von Daten ist bei Zweckerreichung beziehungsweise Wegfall 
des Zweckes und bei Widerruf unzulässig (Schulz, 2018a, Rn. 26). Geschäftsprozesse 
sind also so zu gestalten, dass bei Zweckerreichung oder Wegfall des Zweckes keine 
weitere Verarbeitung erfolgt. Da der Zweck regelmäßig durch einen Geschäftsprozess 
erreicht wird, kann die Einwilligung gleichzeitig als nicht mehr wirksam (weil Zweck 
erreicht) markiert werden. Beim Wegfall der Zwecke etwa durch ein verändertes Ge- 
schäftsmodell ist dies schwieriger zu implementieren und wird insbesondere für lau- 


fende Geschäftsprozessinstanzen oft manuell durchgesetzt werden müssen. 


Der Widerruf muss dabei einfach und jederzeit möglich sein, der Verantwortliche darf 
jedoch den Betroffenen aufimplementierte Widerspruchsmöglichkeiten über übliche 
Kommunikationsmittel verweisen (Schulz, 2018b, Rn. 56). Dies ist für die Gestaltung 
von Geschäftsprozessen (konkret eines Prozesses zur Verarbeitung von Widerrufen) 
vorteilhaft. Der Widerruf gilt nicht rückwirkend, die bisherige Verarbeitung kann sich 
also weiter auf die Einwilligung berufen, aber eine Weiterverarbeitung kann sich 
nicht mehr auf die Einwilligung stützen - sog. Ex-nunc-Wirkung (Schulz, 2018b, Rn. 
54). Geschäftsprozesse müssen also, wenn sie sich auf den Erlaubnistatbestand Ein- 
willigung beziehen, bei jeder Verarbeitung von personenbezogenen Daten (und ins- 
besondere in länger laufenden Geschäftsprozessinstanzen auch bei jedem 
Verarbeitungsschritt) prüfen, ob eine nicht widerrufene Einwilligung vorliegt. Davon 
unabhängig können sich an einen ausgeübten Widerruf der Einwilligung durch den 
Betroffenen weitere Schritte anschließen, dazu gehört beispielsweise die Löschung 


der Daten nach Art. 17 EU-DSG-VO (Schulz, 2018b, Rn. 56). 


Außer der Einwilligung kommen weitere Erlaubnistatbestände in Betracht. Für un- 
ternehmerische Prozesse relevant wird auch der Erlaubnistatbestand der für die 
Vertragserfüllung notwendigen Datenverarbeitung (Art. 6, Abs. 1, lit. b, EU-DS- 


GVO) sein. Dabei muss eine Vertragspartei die betroffene Person sein. Explizit auch 
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erlaubt wird die Verarbeitung als vorvertragliche Maßnahme, sofern eine entspre- 
chende Anfrage der betroffenen Person zugrunde liegt. Dieser Erlaubnistatbestand 
kommt auch als „synallagmatisches vertragliches Austauschverhältnis ([... Dienst] ge- 
gen die Möglichkeit der Datennutzung)“ (Schulz, 2018b, Rn. 30) auch bei kostenlosen 
Diensten in Betracht (vergleiche Fußnote 8). Wie der Erlaubnistatbestand der Einwil- 
ligung geht auch die Verarbeitung zur Erfüllung eines Vertrages beziehungsweise als 
vorvertragliche Maßnahmen auf den Willen des Betroffenen (hier zum Vertrags- 
schluss oder zur Vertragsanbahnung) zurück (Schulz, 2018a, Rn. 27+28). Dabei muss 
die Verarbeitung für die Erfüllung von Pflichten des Vertrages (konkret seiner Haupt- 
und Nebenpflichten) oder zur Wahrnehmung von Vertragsrechten erforderlich sein 
und die betroffene Person muss selbst Partei des Vertrages sein (Schulz, 2018a, Rn. 
38). Konkret ist die „Erforderlichkeit [...] nicht gegeben, wenn die Interessen auch 
ohne die Kenntnis der personenbezogenen Informationen gewahrt werden können“ 
(Schulz, 2018a, Rn. 38). Die Erforderlichkeit ist von der reinen Zweckdienlichkeit ab- 
zugrenzen, so reicht es nach Buchner & Petri (Buchner & Petri, 2018, Rn. 42) nicht 
aus, dass eine Verarbeitung „irgendwie ‚dienlich‘ oder ‚nützlich‘ ist, und auch das Ziel 


einer beschleunigten Abwicklung genügt hierzu nicht. 


Andere Erlaubnistatbestände, welche eine Ausnahme vom Verbot der Verarbeitung 


personenbezogener Daten bilden, sind gemäß Artikel 6, Absatz 1 EU-DS-GVO: 


e Rechtliche Verpflichtung (Art. 6, Abs. 1, lit. c, EU-DS-GVO): Wenn der Ver- 
antwortliche die Daten aufgrund einer rechtlichen Verpflichtung verarbei- 
ten muss, darf er dies im notwendigem Umfang auch. Eine rechtliche 
Verpflichtung kann sich beispielsweise aus den Buchführungs- und Nach- 
weispflichten des Handelsgesetzbuches beziehungsweise der Abgabenord- 
nung (nationales Recht) ergeben (Schulz, 2018a, Rn. 44). 

e Schutz von „lebenswichtige[n] Interessen der betroffenen Person oder ei- 
ner anderen natürlichen Person“ (Art. 6, Abs. 1, lit. d, EU-DS-GVO). Wenn 
eine Verarbeitung notwendig ist, um lebenswichtige Interessen einer natür- 


lichen Person zu schützen, ist sie zulässig. Dabei spielt es keine Rolle, ob es 
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sich um die Interessen der betroffenen Person oder einer dritten natürli- 
chen Person handelt. Es geht hier beispielsweise um die Abwendung einer 
Gefahr für das Leben oder die körperliche Unversehrtheit (Erwägungs- 
grund 112, EU-DS-GVO). Dabei kann die Datenverarbeitung möglichen Op- 
fern von Straftaten „Leib, Leben und Freiheit (auch: Entführung, 
Herbeiführung einer Sprengstoffexplosion) oder der Abwehr schwerer Ge- 
fährdungslagen“ (Frenzel, 2018, Rn. 20) dienen. 

Erfüllung öffentlicher Aufgaben (Art. 6, Abs. 1, lit. e, EU-DS-GVO). Nach 
Frenzel (Frenzel, 2018, Rn. 23) ist dieser Erlaubnistatbestand neben der 
Einwilligung der wichtigste Erlaubnistatbestand. Es kommt dabei nicht auf 
den Verantwortlichen an (dieser kann beispielsweise auch hier eine Be- 
hörde, ein Unternehmen, aber auch eine Privatperson sein), sondern es 
geht um die öffentliche Aufgabe an sich. Damit eine Verarbeitung durch den 
Verantwortlichen zulässig ist, muss ihm die Aufgabe aber übertragen wor- 
den sein (Frenzel, 2018, Rn. 25). Ein Beispiel ist die staatliche Verkehrs- 
überwachung durch Videosysteme (Buchner & Petri, 2018, Rn. 138). 
Wahrung der berechtigten Interessen des Verantwortlichen oder eines Drit- 
ten (Art. 6, Abs. 1, lit. f, EU-DS GVO). Dieser Erlaubnistatbestand wird aber 
bereits im Wortlaut wieder eingeschränkt. Die Verarbeitung muss nicht nur 
erforderlich sein, es dürfen auch „nicht die Interessen oder Grundrechte 
und Grundfreiheiten der betroffenen Person, die den Schutz personenbezo- 
gener Daten erfordern, überwiegen“ (Art. 6, Abs. 1, lit. f, EU-DS GVO). Zu- 
dem werden Kinder in der Interessensabwägung nochmals besonders 
geschützt. Gemäß Art. 6, Abs. 1, S. 2 können sich jedoch Behörden in Erfül- 
lung ihrer Aufgaben nicht auf diesen Erlaubnistatbestand berufen. Die Be- 
stimmung wird in Erwägungsgrund 47 der EU-DS-GVO näher erläutert. 
Dennoch verbleibt bei Berufung auf diesen Erlaubnistatbestand eine große 
Rechtsunsicherheit, die sich aus den vagen Formulierungen ergibt (Schulz, 
2018a, Rn. 60+61). Ein möglicher Anwendungsfall ist die IT-Sicherheit von 


elektronischen Kommunikationsnetzen (Buchner & Petri, 2018, Rn. 167), 
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ein anderer der Betrieb von Suchmaschinen oder eines Dienstes zur War- 
nung vor möglichem Versicherungsbetrug (Buchner & Petri, 2018, Rn. 


171+173-174). 


3.4.2 Verarbeitung nach Treu und Glauben 


Der Grundsatz Treu und Glauben ist in Art. 5, Abs. 1, lit. a, EU-DS-GVO bestimmt. Der 
Begriff „Treu und Glauben“ darf nicht mit dem gleichen Begriff in § 242 BGB gleichge- 
setzt werden, sondern muss unbedingt autonom im Kontext des Unionsrechts ausge- 
legt werden. Er ist allerdings gleichzeitig schwer positiv zu erläutern (Pötters, 2018, 
Rn. 8). Leichter ist das ungewollte treuwidrige Verhalten zu beschreiben, um so ein 
Verständnis des Begriffes zu erhalten. Treuwidrig ist u. a. der Einsatz verborgener 
Techniken (diese verstoßen auch gegen den Grundsatz der Transparenz) wie 
Spyware oder heimliche Videoüberwachung, die Verletzung des Zweckbindungs- 
grundsatzes und der Einsatz unangemessener, unverhältnismäßiger oder nicht erfor- 
derlicher Mittel (Pötters, 2018, Rn. 9). Dazu erscheint ein Verweis auf einen Verstoß 
gegen das Prinzip Treu und Glauben aber nicht notwendig, da die Verarbeitung schon 
durch konkretere Vorschriften rechtswidrig ist. Dafür spricht auch die Sichtweise von 
Reimer: Das Prinzip Treu und Glauben „stellt eine Generalklausel bereit, nach der ge- 
wisse Verarbeitungen als verboten behandelt werden können [...], selbst wenn sie mit 
allen datenschutzrechtlichen Einzelregelungen im Einklang stehen“ (Reimer, 2017, 
Rn. 14). Eine andere mögliche Bezeichnung wäre analog zum englischsprachigen 
Wortlaut „fairly“ der Begriff „Fairness“ beziehungsweise konkrete „Gewährleistung 


einer ‚fairen‘ Verarbeitung“ gewesen (Heberlein, 2017, Rn. 9). 


3.4.3 Transparenz 


Ebenfalls in Art. 5, Abs. 1, lit. a, EU-DS-GVO wird der Grundsatz der Transparenz ge- 
regelt. Er setzt voraus, dass der Betroffene alle Informationen und Mitteilungen über 
die Verarbeitung seiner personenbezogenen Daten leicht auffinden kann, sie sollen 


aber zusätzlich auch verständlich sowie in klarer und einfacher Sprache verfasst sein 
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(Erwägungsgrund 39, EU-DS-GVO). Die Information des Betroffenen dazu ist eben- 
falls wichtig, damit der Betroffene seine Rechte beispielsweise bezüglich Auskunft, 


Berichtigung und Löschung geltend machen kann (Pötters, 2018, Rn. 11). 


3.4.4 Zweckbindung 


Die Zweckbindung ist in Art. 5, Abs. 1, lit. b, EU-DS-GVO festgeschrieben. Im Wortlaut 
wird bestimmt: „Personenbezogene Daten müssen [...] für festgelegte, eindeutige und 
legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht 
zu vereinbarenden Weise weiterverarbeitet werden; [...] (‚Zweckbindung‘)“ (Art. 5, 
Abs. 1, S. 1 und lit. b, EU-DS-GVO). Da auch die Zweckbindung für die Geschäftspro- 
zesse von Unternehmen entscheidend sein kann, soll auch diese hier etwas ausführ- 


licher betrachtet werden. 


Die Zwecke müssen also festgelegt sein, das heißt, sie müssen bereits vor Erhebung 
der Daten feststehen (Pötters, 2018, Rn. 16). Auch sollten sie schriftlich festgehalten 
sein, eine reine gedankliche Festlegung genügt nicht (Reimer, 2017, Rn. 20). Diese 
Forderungen sind unabhängig vom Erlaubnistatbestand. Beim Erlaubnistatbestand 
der Einwilligung wird nur zusätzlich gefordert, dass der Betroffene in genau diese 
Zwecke vorher eingewilligt hat. Dies ist jedoch dann schwierig, wenn Verarbeitungen 
zu unspezifischen Zwecken erfolgen sollen, wie es beispielsweise im Falle von Big- 
Data-Analysen aufgrund der Ergebnisoffenheit regelmäßig der Fall ist. Dieser Anwen- 


dungsfall ist von der EU-DS-GVO nicht hinreichend geregelt (Schulz, 2018a, Rn. 255). 


Die Zweckangabe muss zudem eindeutig sein, sie darf insbesondere nicht zu breit 
sein oder unklar umschrieben werden (Pötters, 2018, Rn. 14). Die Zwecke müssen 


zudem legitim, das heißt rechtlich zulässig sein. 


9 Die Lösung für Einwilligungen in eine ergebnisoffene Big-Data-Verarbeitung könnten entweder eine Ge- 
neraleinwilligung oder sog. gestufte Einwilligungen sein (Schulz, 2018b, Rn. 35). Diese sind bereits aus 
der medizinischen Forschung bekannt. Der Betroffene kann dann entweder vorab entscheiden, welche 
denkbaren Zwecke er zulassen beziehungsweise verbieten möchte oder in der jeweiligen Phase zu- 
nächst in die Analyse selbst und später in die Nutzung der Analyseergebnisse für bestimmte Zwecke 
einwilligen (Schulz, 2018b, Rn. 35). 
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Auch eine Weiterverarbeitung wird durch die Zwecke der Erhebung eingeschränkt. 


Eine Weiterverarbeitung ist konkret neben dem ursprünglichen Zweck nur in einer 
mit dem ursprünglichen Zweck zu vereinbarenden Weise zulässig. Dabei kommt es 
nach Reimer (Reimer, 2017, Rn. 24) gemäß dem Wortlaut auf die Weise und nicht auf 


den Zweck der Weiterverarbeitung an. 


Nach Herbst (Herbst, 2018, Rn. 42) meint der Begriff „Weiterverarbeitung“ der EU- 
DS-GVO eine Zweckänderung. Die Weiterverarbeitung für den neuen Zweck bezie- 
hungsweise die Zweckänderung sei nur zulässig, wenn die zwei folgenden Vorausset- 


zungen beide erfüllt sind: 


e „Eine solche Weiterverarbeitung zu geänderten Zwecken ist nur zulässig, 
wenn kumulativ zwei Voraussetzungen erfüllt sind: Die Weiterverarbeitung 
zu dem neuen Zweck darf nicht mit dem bei der Datenerhebung festgeleg- 
ten Zweck unvereinbar sein (Erfordernis der Zweckvereinbarkeit).“ 
(Herbst, 2018, Rn. 42) 

e „für die Weiterverarbeitung zu dem neuen Zweck muss eine ausreichende 


Rechtsgrundlage vorhanden sein“ (Herbst, 2018, Rn. 42). 


Ob die zweite Voraussetzung erfüllt sein muss, ist allerdings nach Herbst umstritten. 
Heberlein (Heberlein, 2017, Rn. 19) vertritt ebenfalls die Ansicht, dass beide Voraus- 
setzungen erfüllt sein müssen. Zudem bestimmt die EU-DS-GVO, dass „eine Weiter- 
verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für 
wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke“ 
(Art. 5, Abs. 1, lit. b, EU-DS-GVO) nicht als mit dem ursprünglichen Zweck unvereinbar 
gilt. 
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3.4.5 Datenminimierung 


Verarbeitete personenbezogene Daten müssen „dem Zweck angemessen und erheb- 
lich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein 


(„Datenminimierung”)“ (Art. 5, Abs. 1, lit. c, EU-DS-GVO). 


Die Zwecke der Datenverarbeitung gemäß der Zweckbindung sind also relevant, um 
die Menge der verarbeiteten Daten zu bestimmen. Die Menge soll unter dem Stich- 


wort Datenminimierung beschränkt sein. Dabei gelten drei Kriterien: 


e Die Daten müssen für den Zweck angemessen sein. Das heißt, die verarbei- 
teten Daten müssen einen Bezug zum Zweck haben (Herbst, 2018, Rn. 57). 
Nach Frenzel (Frenzel, 2018, Rn. 35) darf dieser nicht zu beanstanden sein 
(das heißt, der Bezug muss legitim sein). 

e Die Daten müssen für den Zweck erheblich sein. Das heißt, sie müssen ge- 
eignet sein, um den Zweck zu erreichen (Herbst, 2018, Rn. 57). 

e Die Daten müssen für den Zweck der Verarbeitung notwendig sein. Eine 
Kontrollfrage dazu kann lauten: Ist es möglich, den Verarbeitungszweck 
ohne die Daten (evtl. mit weniger Daten) zu erreichen? 

Nach Herbst (Herbst, 2018, Rn. 57+58) ist auch zu bedenken, ob der Zweck 
nicht auch mit aggregierten oder anonymisierten Daten erreicht werden 
kann. Auch eine Pseudonymisierung kommt als Maßnahme der Datenmini- 


mierung infrage (Pötters, 2018, Rn. 23). 


Dabei ist nicht nur die „Anzahl der verarbeiteten Daten“, sondern auch die „Anzahl 
der Nutzungen“ und die „Anzahl der Betroffenen“ einzuschränken (Pötters, 2018, Rn. 
22). Es würden auch technische Maßnahmen dazugehören wie beispielsweise die 
reine Anzeige der Daten auf einem Bildschirm ohne Möglichkeit der Vervielfältigung 


beziehungsweise des Ausdrucks (Pötters, 2018, Rn. 22+23). 


63 


3 Grundlagen: Datenschutz 


3.4.6 Richtigkeit 


Nach Art. 5, Abs. 1, lit. d, EU-DS-GVO muss der Verantwortliche dafür Sorge tragen, 
dass die Daten sachlich richtig und, sofern erforderlich, auch auf dem neuesten Stand 
sind. Der Verantwortliche muss dazu die erforderlichen Maßnahmen treffen. Damit 
hat der Verantwortliche unabhängig vom Berichtigungsanspruch des Betroffenen 


ebenfalls für die Richtigkeit der Daten zu sorgen (Pötters, 2018, Rn. 24). 


3.4.7 Speicherbegrenzung 


Die Speicherbegrenzung bestimmt, dass personenbezogene Daten „in einer Form ge- 
speichert werden, die die Identifizierung der betroffenen Personen nur so lange er- 
möglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ (Art. 
5, Abs. 1, lit. e, EU-DS-GVO). Der Verantwortliche muss nach (Pötters, 2018, Rn. 25) 
Fristen für die Löschung oder regelmäßige Überprüfungen vorsehen; diese Bestim- 
mung konkretisiert die Zweckbindung in zeitlicher Hinsicht. Alternativ zur Löschung 
kann der Personenbezug entfernt werden (Herbst, 2018, Rn. 66). Analog zur Daten- 
minimierung wird hier der Verantwortliche unabhängig von den Betroffenenrechten 
(Recht auf Löschung gemäß Art. 17, Abs. 1 lit. a, und Recht auf Einschränkung der 
Verarbeitung gemäß Art. 18 Abs. 1 EU-DS-GVO) verpflichtet, die Speicherung (min- 
destens hinsichtlich des Personenbezugs) zu begrenzen. Er muss zudem den Betroffe- 
nen über die Speicherdauer informieren beziehungsweise, falls diese nicht feststeht, 


über die Kriterien, nach denen die Dauer festgelegt wird (Pötters, 2018, Rn. 26). 


3.4.8 Vertraulichkeit und Integrität 


Artikel 5, Abs. 1 lit. f£ EU-DS-GVO fordert die Gewährleistung einer angemessenen Si- 
cherheit im Allgemeinen und von Vertraulichkeit und Integrität im Speziellen durch 


geeignete technische und organisatorische Maßnahmen. Es geht hier nicht um einen 
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zusätzlichen materiell-rechtlichen Schutz1P, sondern um spezifische Vorgaben hin- 
sichtlich der Informationssicherheit der verarbeitenden Systeme beziehungsweise 
der Daten (Pötters, 2018, Rn. 28). Dabei ist sowohl vor unbefugter als auch vor un- 
rechtmäßiger Verarbeitung zu schützen. Gleichzeitig umfassen die unbefugten Verar- 
beitungen alle Verarbeitungen, die „gegen den Willen des Verantwortlichen“ 
stattfinden (Reimer, 2017, Rn. 49). Unrechtmäßige Verarbeitungen umfassen solche, 
die gegen die Bestimmungen des Datenschutzrechtes verstoßen (andere Gesetze 
seien hier nicht relevant, diese seien durch unbefugt abgedeckt), also beispielsweise 
sich auf keinen Erlaubnistatbestand berufen können (auch ein Hacker bräuchte für 
eine datenschutzrechtmäßige Verarbeitung einen solchen Erlaubnistatbestand) (Rei- 


mer, 2017, Rn. 48). 


3.4.9 Rechenschaftspflicht 


Nachdem Artikel 5 Absatz 1 EU-DS-GVO die vorgenannten acht Grundsätze festgelegt 
hat, wird der Verantwortliche vom 2. Absatz dazu verpflichtet, die Grundsätze einzu- 
halten und diese Einhaltung auch nachweisen zu können. Diese Rechenschaftspflicht 
ist sowohl gegenüber der bisherigen europäischen Datenschutzrichtlinie als auch ge- 
genüber dem nationalen Bundesdatenschutzgesetz eine „echte Veränderung“ und da- 
mit in dieser Intensität eine neue Anforderung für die Verantwortlichen (Jung, 2018, 
S. 208f.). Das „Nachweisen-Können-Müssen“ wird auch in Artikel 24 Absatz 1 EU-DS- 
GVO konkretisiert (Veil, 2018, S. 9). Verantwortliche (also beispielsweise Unterneh- 
men) müssen daher nun erstmals einen „systematischen Nachweis ordnungsgemä- 
ßer Datenverarbeitung“ (Jung, 2018, S. 208) hinsichtlich des Datenschutzes 
sicherstellen. Jung (Jung, 2018) empfiehlt daher den Aufbau eines „Datenschutz- 
(Compliance-)Management-System[s]“. Dabei ist zwischen prozessunabhängiger, das 
heißt nicht an eine spezifische Datenverarbeitung gebundene Dokumentation (wie 


beispielsweise der Nachweis von Datenschutzschulungen oder die Bestellung eines 


10 Ein zusätzliches materielles Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informa- 
tionstechnischer Systeme hat dagegen das Bundesverfassungsgericht in einem Urteil vom 27. Februar 
2008 geschaffen (BVerfG, 2008). 
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Datenschutzbeauftragten) und prozessabhängiger Dokumentation zu unterscheiden 


(Jung, 2018, S. 212). 


Eine systematische Modellierung aller Prozesse mit Verarbeitung von personenbezo- 
genen Daten, beispielsweise mit den Ansätzen der vorliegenden Arbeit, kann einen 


wichtigen Beitrag zur Erfüllung dieser Rechenschaftspflichten leisten. 
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4.1 Modellierung 


In diesem Abschnitt werden einführend die Grundlagen zu Modellen und Modellie- 
rung betrachtet. Da Modelle in verschiedensten Disziplinen verwendet werden, gibt 
es eine große „Diversität von Modellen“ (Thalheim & Nissen, 2015, S. 491) und kein 
einheitliches Verständnis des Modellbegriffs und der Modellierung. Auch wenn es, um 
die Zusammenarbeit zwischen Forschergruppen zu fördern, Bemühungen um einen 
interoperablen und übergreifenden Modellbegriff gibt, ist die Arbeit daran noch nicht 
abgeschlossen. Für die in dieser Arbeit untersuchten Fragestellungen sind verschie- 
dene Wissenschaftsdisziplinen - insbesondere die Wirtschaftswissenschaften, die In- 
formatik und die Rechtswissenschaften - von Bedeutung. Diese 
Wissenschaftsdisziplinen haben jedoch untereinander und teils auch innerhalb der 
Wissenschaftsdisziplinen kein einheitliches Verständnis des Modellbegriffs. Für die 
Disziplinen Informatik, Wirtschaftsinformatik und Betriebswirtschaftslehre stellt 
dies beispielsweise Thomas (Thomas, 2005, S. 7) fest. Für die Rechtswissenschaften 
analysiert Schuhr (Schuhr, 2006, S. 224f.) die Verwendung des Begriffs Modell. Ein 
Verwendungsbeispiel ist das „Europäische Modellstrafgesetzbuch“, das Vorbild für 
nationale Gesetzgebung („Kodifikation“) ist. Ein anderes Beispiel sind die „verschie- 
denen Modelle der Vertragsgestaltung“, wie beispielsweise „Timesharing-Modelle“ 
und „Finanzierungsmodelle“. Sie zeigen eine Verwendung des Begriffs Modelle als 
„rechtliche Konstruktionen“. Die beiden ausgewählten Beispiele zeigen bereits, dass 
das Verständnis des Begriffs Modells in den Rechtswissenschaften mindestens teil- 


weise von dem in der Informatik oder den Wirtschaftswissenschaften abweicht. 


67 


4 Grundlagen: Unternehmensmodellierung 


Um nachfolgend ein einheitliches Begriffsverständnis zu haben, werden zunächst in 
Definition 4.1 die Begriffe Modell, Modelloriginal, Sicht und Modellierung definiert 
(Stachowiak, 1973, S. 128 ff.). 


Definition 4.1: 

Modell, Modelloriginal, Sicht und Modellierung 

e Fin Modell ist ein vereinfachtes Abbild eines Modelloriginals. 

e Jedes Modell dient einem bestimmten Zweck. Zusätzlich ist es eventuell nur 
für bestimmte Modellnutzer (Zielgruppen), Untersuchungen, Überlegungen, 
Operationen und für einen bestimmten Zeitraum bestimmt. Die Vereinfa- 
chung bei der Abbildung ist entsprechend dem Zweck zu wählen. 

e Ein Modelloriginal kann entweder a) die Realität, b) ein erdachtes (evtl. rein 
‚gedankliches) System oder c) ein Ausschnitt von a) oder b) sein. 

e Zu einem Modelloriginal können für verschiedene Zwecke verschiedene As- 
pekte eines Modelloriginals in verschiedenen Modellen abgebildet werden. 
Man spricht von verschiedenen Sichten beziehungsweise Perspektiven auf ein 
Modellorigindal. 


e Modellierung bezeichnet den Vorgang der Erstellung eines Modells. 


Modellierung wird nach Holten (Holten, 2000) als „Vorgang verstanden, bei dem ein 
Modellierer, der einen Sachverhalt in der realen oder gedachten Welt wahrnimmt, auf 
Basis dieser Wahrnehmung ein Abbild dieses Sachverhaltes konstruiert“. Allerdings 
werden Modelle nicht immer von natürlichen Personen als Modellierer konstruiert, 
sondern teils auch automatisch erzeugt. Als Beispiele seien ein 3-D-Scanner bei der 
Erfassung der Oberfläche eines Objektes (Modelloriginal) oder Software zur Erzeu- 
gung eines Klassenmodells zu einer als Quellcode vorliegenden anderen Software ge- 


nannt. 


Die Modellierung orientiert sich an den drei Hauptmerkmalen des allgemeinen Mo- 


dellbegriffs nach Stachowiak (Stachowiak, 1973, S. 131ff.): 
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e  Abbildungsmerkmal: Modelle sind Abbildungen beziehungsweise Reprä- 
sentationen eines Modelloriginals. Dabei kann das Modelloriginal nach 
Stachowiak (Stachowiak, 1973) natürlich oder künstlich sein, sogar Modelle 
könnten selbst wieder als ein Modelloriginal für ein anderes Modell dienen. 
Die Abbildung muss nach Thalheim & Nissen (Thalheim & Nissen, 2015, S. 
496) so erfolgen, dass das Modell das Original adäquat und verlässlich re- 
präsentiert. 

e  Verkürzungsmerkmal, das heißt Vereinfachung: Modelle erfassen nicht das 
gesamte Modelloriginal. Bei der Modellierung wird ein Ausschnitt des Origi- 
nals ausgewählt und festgelegt, welche Attribute des Modelloriginals abge- 
bildet werden sollen. Attribut bezeichnet hier entweder eine Eigenschaft 
oder eine Beziehung oder eine Operation eines Modelloriginals. Auch abge- 
bildete Attribute, wie beispielsweise Beziehungen, können ihrerseits Attri- 
bute haben. Wichtig ist, dass die Vereinfachung „in einer Weise“ 
vorgenommen wird, die von der Zielgruppe akzeptiert wird (Kaschek, 
1999). 

e _Pragmatisches Merkmal: Modelle erfüllen ihre Ersetzungsfunktion nur für 

bestimmte Zwecke. Das bedeutet auch, dass ein Modell für bestimmte „ge- 
dankliche oder tatsächliche Operationen“ (Stachowiak, 1973, S. 133) konzi- 
piert und dementsprechend darauf beschränkt sein kann. Auch kann sich 
ein Modell an bestimmte Modellnutzer richten, Modellnutzer können Men- 
schen, aber auch IT-Systeme! sein. 
Die Zweckbindung ermöglicht es, eine zweckgemäße Vereinfachung vorzu- 
nehmen. Nach Jeanneret u. a. (Jeanneret, Glinz & Baar, 2012) bildet ein klar 
spezifizierter Zweck einen Vertrag zwischen Modellierer und Modellnutzer. 
Der Modellnutzer kann dementsprechend Zweck, aber auch Grenzen des 


Modells erkennen. Nach Schuhr (Schuhr, 2006, S. 223) ist es wichtig, dass 


1 Bereits Stachowiak (Stachowiak, 1973) spricht neben Menschen von einem möglichen „künstlichen Mo- 
dellbenutzer“. 
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der Modellnutzer sich über Abstraktionen und Idealisierung des Modells 


bewusst ist. 


Vereinfachung und Abbildung werden beide zusammen auch als Transformation be- 
zeichnet. Vereinfachung und Abbildung haben beide zur Folge, dass die Wahrneh- 
mung des Modellierers hinsichtlich des Modelloriginals, aber auch hinsichtlich der 
Bedürfnisse der Modellnutzer das Modell mitprägt. Auch die Interpretation eines Mo- 
dells ist nicht immer eindeutig, die Wahrnehmung des Modellnutzers kann von Be- 
deutung sein. Diese sogenannten Transformationseffekte (K. Pohl, 2008) können 
nicht völlig vermieden, aber durch eine geeignete Vorgehensweise deutlich reduziert 
werden. Ein Beispiel für einen solchen Effekt ist die Abundanz. Das bedeutet, dass ein 
Modellattribut im Modell vorhanden ist, das keine Entsprechung im Original hat 
(Stachowiak, 1973). Diese Modellattribute können durch implizite oder explizite An- 
nahmen des Modellierers entstehen. Modellattribute ohne Entsprechung im Modell- 
original dürfen nicht ausgewertet werden, da sonst fehlerhafte Schlüsse entstehen 


können. 


Modelle können dazu dienen, die Sprachfähigkeitüber ein Modelloriginal zu erhöhen, 
das Modelloriginal zu analysieren oder ein zukünftiges System zu planen. Modelle 


können auch das Ziel haben, ein System zu bauen? beziehungsweise zu steuern. 


Modelle lassen sich insbesondere mithilfe von natürlicher Sprache, Grafik, mathema- 
tischer Struktur und/oder dreidimensionalen Plastiken darstellen. In vielen Fällen 
wird für die Darstellung eine Modellierungssprache verwendet. Modellierungsspra- 
chen ermöglichen und beschränken die Nutzbarkeit von Modellen (Thalheim & Nis- 
sen, 2015, S. 500). Modellierungssprachen definieren gemäß Karagiannis & Kühn 
(Karagiannis & Kühn, 2002) einerseits die Syntax eines Modells, das heißt, sie legen 


die gültigen Modellelementtypen sowie die gültigen Kombinationen fest. Anderer- 


2 Im Bereich der Softwareentwicklung wird dies als Modellgetriebene Softwareentwicklung (MDSD, eng- 
lisch: model-driven software development) bezeichnet. 
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seits geben Modellierungssprachen die Semantik der verschiedenen Modellele- 
menttypen sowie deren Kombinationen vor. Damit legen sie den Grundstein für die 


spätere Interpretation. 


Die Benutzerfreundlichkeit einer Modellierungssprache muss anhand verschiedener 
Kriterien bewertet werden. Schalles u. a. haben dazu die Kriterien „Erlernbarkeit, Ein- 
prägsamkeit, Effektivität, Effizienz, Benutzerzufriedenheit sowie visuelle Wahrneh- 
mung“ (Schalles, Rebstock & Creagh, 2010, S. 18f.) aus der allgemeinen Usability- 


Literatur herausgearbeitet und auf Modellierungssprachen übertragen. 


Abbildung 4 veranschaulicht den Zusammenhang zwischen Modelloriginal, Modellen 
und Sichten. Zu einem Modelloriginal können verschiedene Modelle existieren. Dabei 
können auch mehrere Modelle zur gleichen Sicht gehören (In der Abbildung gehören 
das Modell 2 und das Modell 3 zur Sicht II.) und den gleichen Aspekt mit einer ande- 
ren Darstellung beschreiben. Die Modelle entstehen durch eine Abbildungsfunktion. 
Dadurch wird das Modelloriginal vereinfacht, das heißt verkürzt, dargestellt. Außer- 
dem kann eine Sicht auf ein Modelloriginal verschiedene Aspekte und verschiedene 


bereits existierende Sichten umfassen. In der Abbildung wird dies als integrierte Sicht 


bezeichnet. 


Modell 1 Sicht I 
7 Z 
——— > Modell2 2 
Sicht II 5 
Modell 3 D 
£ 

SN Modell ... Sicht ... 

Modell N Sicht n 

— > Abbildungsfunktion 


Abbildung 4: Zusammenhang Modelloriginal und Modell 
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Zur Veranschaulichung werden ein Flugzeug und verschiedene zugehörige Modelle 
betrachtet. Wahrscheinlich wurde während der Konstruktion des Flugzeuges ein di- 
gitales aerodynamisches Modell erstellt, und aerodynamische Eigenschaften wurden 
damit mittels einer IT-gestützten Simulation ermittelt. Zusätzlich wurde ein 3-D-Mo- 
dell erstellt und im Windkanal getestet. Außerdem wurde neben dem eigentlichen 
Flugzeug auch ein Flugsimulator gebaut, um die Piloten für unerwartete, gefährliche 
Situationen zu trainieren. Aber auch für das Training der Kabinencrew kann ein wei- 
teres Modell existieren, ein Kabinenmodell. Alle diese Artefakte sind Modelle, jedes 
Modell repräsentiert andere Aspekte des Flugzeuges. Die Modelle wurden für ver- 
schiedene Zwecke erstellt und sind verschiedene Sichten auf das gleiche Modellorigi- 


nal. 


Skusa & Thalheim (Skusa & Thalheim, 2015, S. 431) beschreiben den Zusammenhang 
verschiedener Modelle bei der Modellierung von Informationssystemen. Unter- 
schiedliche Aspekte von Informationssystemen werden getrennt voneinander be- 
trachtet und modelliert. Dies führt zur Herausforderung, diese Modelle zu einem 
konsistenten Ganzen zusammenzuführen. Eine Lösung hierzu besteht darin, „meh- 
rere Modelle zu einer modellübergreifenden Struktur, einer sogenannten Modell- 


Suite“ (Skusa & Thalheim, 2015, S. 435), zusammenzufassen. 


Definition 4.2: 

Modell-Suite 

Eine Modell-Suite „besteht aus 

e einer Menge von Modellen {M,, ..., Mn}, 

e Schemata für Assoziationen und Kollaborationen zwischen den Modellen, 

e  Controllern, welche für die Kohärenz der Modell-Suite sorgen, 

e  Bearbeitungsschemata, welche explizit die Bearbeitung und Weiterentwick- 
lung der Modell-Suite beschreiben, und 

e Tracern, mit denen sich die Herstellung von Kohärenz verfolgen lässt.“ 

(Skusa & Thalheim, 2015, S. 436) 
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4.2 Sichten aufein Unternehmen 


Im Falle der Unternehmensmodellierung sind wie in Abbildung 5 dargestellt - neben 
anderen - die Sichten hinsichtlich Geschäftsprozess, Organisations-struktur und Da- 
tenstruktur relevant. Für die unterschiedlichen Sichten sind unterschiedliche Modell- 
typen notwendig. So werden Geschäftsprozesse beispielsweise in Petri-Netzen, die 
Organisationsstruktur beispielsweise in Organigrammen und die Datenstruktur in 
ER-Diagrammen beschrieben. Diese Modelle können dann, im Sinne einer Modell- 
Suite, miteinander verknüpft werden. Bevor die verschiedenen Sichten in den nach- 
folgenden Unterkapiteln genauer beschrieben werden, erfolgen erste Informationen 
auf die Werkzeugunterstützung und auf die durch diese Arbeit betrachtete Sicht der 


Informationssicherheit. 


MODELLORIGINAL Moboeıı SICHT INTEGRIERTE SICHT 


Geschäftsprozess- 


7 <= sicht = 
nax © 
BER kt = 
Organisationsstruktur- © 
— > =. sicht 3 
-— [DD 2 
[e) 
nr z Datenstruktur- S 
mi = sicht RE 
5S 
DE- 

Sicht... 

Sicht... 


_—> ÄBBILDUNGSFUNKTION 


Abbildung 5: Sichten der Unternehmensmodellierung (vgl. Alpers, Pilipchuk, Oberweis & Reussner, 
2018 S. 80, Abb. 1) 


Zur Modellierung und zur Verknüpfung der unterschiedlichen Sichten wird in der Re- 


gel ein Modellierungswerkzeug verwendet. Beispielsweise unterstützt Horus? ein in 


3 www.horus.biz 
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Kooperation des Instituts für Angewandte Informatik und Formale Beschreibungs- 
verfahren (AIFB) am Karlsruher Institut für Technologie (KIT) des Forschungsbe- 
reichs Software Engineering am FZI Forschungszentrum Informatik und des 
Industriepartners PROMATIS software GmbH entwickeltes Werkzeug (Schönthaler, 
Vossen, Oberweis & Karle, 2011, S. 6) die verschiedenen Modelltypen und ihre Ver- 
knüpfung. Das Werkzeug wird laufend weiterentwickelt, auch durch Prototypen, die 
bei den Forschungspartnern regelmäßig entstehen. Ein Beispiel dafür ist der mobile 


Petri-Netz-Editor (Alpers, Eryilmaz, Hellfeld & Oberweis, 2014). 


Im Rahmen dieser Arbeit stehen Aspekte der Sicherheit im Fokus. Um Sicherheit 
durch Modellierung zu fördern, werden für bestimmte Arten von Modelloriginalen 
und bestimmte Modellierungssprachen Erweiterungen vorgenommen, um eine neue 
integrierte Sicht „Informationssicherheit“ zu generieren. Die Sicht Informationssi- 
cherheit baut als integrierte Sicht hierzu auf existierende Sichten der Unternehmens- 
modellierung auf und ergänzt die einzelnen Sichten und dazu notwendigerweise auch 
teilweise ihre Modellierungssprachen. Zusätzlich wird die Verknüpfung der verschie- 


denen Modelle formal definiert. 


4.3 Die Geschäftsprozesssicht 


In diesem Abschnitt werden zunächst verschiedene Definitionen des Begriffs Ge- 
schäftsprozess und verwandter und synonymer Begriffe untersucht, um anschlie- 


Bend eine Definition des Begriffs für diese Arbeit festzulegen. 


Gadatsch (Gadatsch, 2015) definiert: Ein „Prozess ist eine sich regelmäßig wiederho- 
lende Tätigkeit mit einem definierten Beginn und Ende. Er verarbeitet Informationen 
(Input) zu zielführenden Ergebnissen (Output) und istin der Regel arbeitsteilig orga- 
nisiert. Er kann manuell, teilautomatisiert oder vollautomatisiert ausgeführt wer- 
den.“ Die Definition schränkt den „Input“ auf Informationen ein, ein Prozess kann 


darüber hinaus aber auch andere Ressourcen, wie beispielsweise Waren, verarbeiten. 
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Die Definition betont einen definierten Beginn und ein definiertes Ende eines Prozes- 


ses, lässt aber offen, ob es sich um eine einzelne oder mehrere sich regelmäßig wie- 


derholende Tätigkeiten handelt. Da ein Prozess mehrere Tätigkeiten, aber - seltener 


- auch nur eine Tätigkeit umfassen kann, ist beides möglich. 


Nach Oberweis (Oberweis, 1996, S. 15) können „Begriffe wie Geschäftsvorgang (-pro- 


zeß) , Business Process, Vorgangskette, Prozefßkette, Büroablauf (Office Procedure), 


Fertigungsablauf, verfahrenstechnischer Prozeß, Entwicklungsprozeß oder auch 


Workflow unter dem Oberbegriff betrieblicher Ablauf zusammengefasst“ werden. Er 


definiert den Begriff betrieblicher Ablauf hierzu wie folgt: 


iii. 


„Ein betrieblicher Ablauf ist eine Menge von manuellen, teilautomatisierten 
oder automatisierten Aktivitäten, die in einem Betrieb nach bestimmten Re- 
geln auf ein bestimmtes Ziel hin ausgeführt werden. Die Aktivitäten hängen 
über betroffene Personen, Maschinen, Dokumente, Betriebsmittel u. ä. mit- 
einander zusammen. 

Aktivitäten werden durch sogenannte Aufgabenträger ausgeführt. Es wird 
zwischen personellen und nichtpersonellen (maschinellen) Aufgabenträ- 
gern unterschieden [...]. Aufgaben sind hier als zu erbringende Leistungen 
zu verstehen, wobei die Erfüllung einer Aufgabe durch Ausführung einer o- 
der mehrerer Aktivitäten erfolgt. 

Ein kooperativer oder arbeitsteiliger (betrieblicher) Ablauf ist dadurch ge- 
kennzeichnet, daß mindestens zwei Aufgabenträger seine Aktivitäten aus- 
führen. 

Ein verteilter (betrieblicher) Ablaufliegt dann vor, wenn (mindestens zwei) 
Aktivitäten eines (betrieblichen) Ablaufs an geographisch unterschiedli- 
chen Orten ausgeführt werden.“ 


(Oberweis, 1996, S. 14f.) 


Dabei versteht Oberweis (Oberweis, 1996, S. 14) unter einem Betrieb „auch zum Bei- 


spiel Dienstleistungsunternehmen, Krankenhäuser, Behörden u. ä.“. Gemäß dieser 


Definition ist der Ausführungsort „im Betrieb“ für die Einordnung als betrieblicher 
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Ablauf entscheidend. Dadurch wird der Charakter des Oberbegriffs deutlich, der ver- 
schiedene Untergliederungen des Begriffs Prozess umfasst. So untergliedert Berkau 
(Berkau, 1998) den Begriff Prozess in technische Prozesse und (betriebswirtschaftli- 


che) Geschäftsprozesse. 


Werden Prozesse zur betrieblichen Aufgabenerfüllung gestaltet, sei es zur direkten 
Wertschöpfung oder als Unterstützung, werden diese Prozesse in dieser Arbeit als 
Geschäftsprozesse bezeichnet. In Anlehnung an Oberweis (Oberweis, 1996) wird 


nachfolgend der Begriff Geschäftsprozess definiert. 


Definition 4.3: 

Geschäftsprozess 

e Fin Geschäftsprozess ist eine Menge von manuellen, teilautomatisierten o- 
der automatisierten Aktivitäten (Tätigkeiten), die nach bestimmten Regeln 
ausgeführt werden. Mit der Ausführung wird die Erreichung eines bestimm- 
ten unternehmerischen Zieles angestrebt. 

e Von den Aktivitäten können Objekte erzeugt, konsumiert, benötigt oder bear- 
beitet werden. Objekte können beispielsweise Rohstoffe, Fertigungsstücke, 
aber auch Informationen sein. 

e Die Aktivitäten werden durch personelle und/oder nichtpersonelle Ressour- 
cen ausgeführt. 

e Fin Geschäftsprozess ist arbeitsteilig, wenn mindestens zwei Ressourcen seine 
Aktivitäten ausführen. 

e Fin Geschäftsprozess ist unternehmens- beziehungsweise organisationsüber- 
‚greifend, wenn mindestens zwei Unternehmen beziehungsweise Organisatio- 
nen an der Ausführung der Aktivitäten beteiligt sind. 


Analog zur Verwendung des Begriffs Betrieb bei Oberweis (Oberweis, 1996, S. 14) 
schließen unternehmerische Ziele auch Ziele von Organisationen, wie Krankenhäu- 
sern, Behörden und gemeinnützigen Organisationen (zum Beispiel Stiftungen und 


Vereinen), mit ein. 
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Von einem Geschäftsprozess ist die modellhafte Darstellung desselben zu unterschei- 
den. Unabhängig von einer solchen modellhaften Darstellung kann ein Geschäftspro- 
zess beispielsweise während der Ausführung einer Instanz durch die beteiligten 


Ressourcen beobachtet werden (Gadatsch, 2015). 


Definition 4.4: 

Geschäftsprozessmodell 

e Die modellhafte Darstellung eines Geschäftsprozesses als Modell heift Ge- 
schäftsprozessmodell oder Geschäftsprozessschema. 


Die Geschäftsprozessmodellierung ist ein Teil der Unternehmens-modellierung. Mit- 
hilfe der Geschäftsprozessmodellierung kann das Verhalten eines Unternehmens mo- 
delliert werden. Andere Bereiche der Unternehmens-modellierung betrachten 
beispielsweise auch statische Aspekte wie die Organisationsstruktur. Dajedoch in der 
Geschäftsprozessmodellierung insbesondere dynamische, aktivitätsbezogene As- 
pekte betrachtet werden, ist es wichtig, die Begriffe Geschäftsprozess, Geschäftspro- 


zessmodell und Geschäftsprozessinstanz zu unterscheiden (Gadatsch, 2015). 


Definition 4.5: 

Geschäftsprozessinstanz 

e Eine Geschäftsprozessinstanz bezeichnet einen konkreten Geschäftsvor- 
‚gang, das heifst eine konkrete Durchführung beziehungsweise Ausprägung ei- 
nes Geschäftsprozesses. 


Können beispielsweise in einem Geschäftsprozessmodell Ressourcen und verarbei- 
tete Objekte nur bezüglich ihrer Typen festgelegt werden, werden in einer Geschäfts- 
prozessinstanz vor oder während der Ausführung Ressourcen und Objekte 


konkretisiert. Zwei Geschäftsprozessinstanzen des gleichen Geschäftsprozessmo- 


77 


4 Grundlagen: Unternehmensmodellierung 


dells unterscheiden sich oft hinsichtlich der verwendeten Objekte. Eventuell unter- 
scheiden sich sogar die ausgeführten Aktivitäten, wenn das Geschäftsprozessmodells 


hier Alternativen vorsieht. 


4.3.1 Petri-Netze 


In diesem Abschnitt werden ausgewählte Grundlagen zur Modellierungssprache 
Petri-Netze zur Modellierung von Geschäftsprozessen erläutert, weil die in dieser Ar- 


beit vorgestellten Sicherheitsnetze eine Erweiterung der Petri-Netze darstellen. 


Petri-Netze sind eine Struktur mit zwei Sorten von Elementen: Stellen und Transitio- 


nen. Diese werden durch Kanten miteinander verbunden (Reisig, 2010): 


e Stellen bilden die passiven Komponenten von Petri-Netzen und dienen i. d. R. 
zur Modellierung von Zuständen. Zusätzlich können Stellen Dinge lagern und 
Informationen speichern. Stellen werden in dieser Arbeit als Kreis dargestellt. 
Ein gebräuchliches Synonym für Stellen sind Plätze. 

e Aktivitäten, als zentrales Element der Geschäftsprozessmodellierung, werden 
in Petri-Netzen als Transitionen abgebildet. Diese werden in dieser Arbeit mit 
einem Rechteck dargestellt. 

e Der Kontrollfluss als wesentliche Möglichkeit, die Regeln eines Geschäftspro- 


zesses abzubilden, wird als gerichtete Kante dargestellt. 


— 


Abbildung 6: Symbole für Stelle, Transition und gerichtete Kante 
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Neben dieser grafischen Darstellungsnotation besitzen Petri-Netze eine mathemati- 


sche Fundierung und können entsprechend definiert werden (W. van der Aalst & 


Stahl, 2011, S. 73; vgl. Reisig, 1986, S. 16; Reisig, 2010, S. 23): 


A: 
3: 
4. 


Definition 4.6: 

Petri-Netz 

Ein Petri-Netz ist ein TupelN = (P,T,F) mit 
1. P als eine endliche Menge von Stellen. 


T als eine endliche Menge von Transitionen. 
PM). 
FE(PxT)U(TxP)alseine Flussrelation. 


Die Bedingung der Flussrelation (4) garantiert, dass es keine direkte Verbindung von 


Stellen zu Stellen beziehungsweise von Transitionen zu Transitionen gibt. Relationen 


sind nur zwischen Transitionen und Stellen und umgekehrt zulässig. Die gerichteten 


Kanten gehen also immer von einer Stelle zu einer Transition oder umgekehrt. 


Objekte (siehe Definition 4.3) werden in Petri-Netzen durch Marken dargestellt. Mar- 


ken können aber nicht nur Objekte repräsentieren, sondern auch nur dazu dienen, 


den Kontrollfluss zu steuern. Für Marke wird oft das Synonym Token gebraucht. Die 


Verteilung aller Marken, das heißt die Belegung der Stellen durch Marken, in einem 


Petri-Netz wird als Markierung des Petri-Netzes (W. van der Aalst & Stahl, 2011) be- 


zeichnet. Die Markierung enthält somit den Zustand des Netzes. Sie lässt sich nach 


van der Aalst & Stahl (W. van der Aalst & Stahl, 2011, S. 77) wie folgt definieren: 
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Definition 4.7: 

Markierung eines Petri-Netzes 

e Eine Markierung m eines Petri-Netzes N = (P,T, F) ist eine Funktion m : 
P > N, die jeder Stelle p € P die Anzahl der Marken in dieser Stelle zuord- 
net. 


e Die Menge M enthält alle Markierungsfunktionen eines Petri-Netzes. 


Aufgrund einer Markierung kann bestimmt werden, ob eine Transition schalten kann. 
Dazu müssen zunächst der Vor- und der Nachbereich einer Transition definiert wer- 


den (W. van der Aalst & Stahl, 2011, S. 73). 


Definition 4.8: 
Vor- und Nachbereich einer Transition in einem Petri-NetzN = (P,T, F) 
e Fine Stelle p ist eine Eingangsstelle einer Transition t genau dann, 
wenn (p,t) EF. 
e Die Menge e»t = {p | (p,t) E F} definiert den Vorbereich einer Transition t. 
e Fine Stelle p ist eine Ausgangsstelle einer Transition t genau dann, 
wenn (t,p)e F. 
e Die Menget »= {p |(t,p) € F} definiert den Nachbereich einer Transition t. 


Dies lässt sich auch auf den Vor- und Nachbereich einer Stelle übertragen. 


Definition 4.9: 

Vor- und Nachbereich einer Stelle in einem Petri-Netz N = (P,T,F) 

e Die Menge» p= {t | (t,p) € F} definiert den Vorbereich einer Stelle p. 
e Die Menge p »= {t | (p, t) € F} definiert den Nachbereich einer Stelle p. 
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Nun kann bestimmt werden, ob eine Transition schalten kann, das heißt aktiviert ist. 
Dazu muss sich in jeder Stelle des Vorbereiches mindestens eine Marke befinden. 
Falls dies der Fall ist, kann eine Transition schalten. Wenn eine Transition schaltet, 
wird aus jeder Stelle des Vorbereichs eine Marke entnommen (das heißt, die Marke 
wird konsumiert), und in jeder Stelle des Nachbereichs wird eine neue Marke erzeugt. 
Formal lässt sich diese Schaltregel nach van der Aalst & Stahl (W. van der Aalst & 
Stahl, 2011, S. 77£.) wie folgt definieren: 


Definition 4.10: 

Schaltregel 

e _Ineinem Petri-Netz N = (P,T,F) ist eine Transition t € T genau dann unter 
einer Markierung m : P > N aktiviert, wenn für alle p € e t gilt: m(p) > 0. 

e Eine aktivierte Transition kann schalten. 

e Wenn eine Transition t € T schaltet, wird die Markierung m : P > N in die 
Markierung m! : P > N überführt. m! lässt sich wie folgt berechnen: 


für alle p € P:m (p) = m(p) - w((9.0)) + w(t, p)) 
w:(PxT) U (TxP) > {0 mit w((x,y)) = 1 wenn (x, y) € F und 
w((x,y)) = 0 wenn (x,y) € F. 


Abbildung 7 zeigt ein Petri-Netz mit zwei Stellen und einer Transition. Das Petri-Netz 
hat zunächst eine Startmarkierung (links in der Abbildung). Dadurch ist die Transi- 
tion aktiviert und kann schalten. Beim Schalten der Transition wurde die Marke aus 
der Eingangsstelle konsumiert und eine Marke in der Ausgangsstelle erzeugt. Das Re- 


sultat ist rechts in der Abbildung zu sehen. 


©L—_ PO = O> PO 


Abbildung 7: Petri-Netz vor (links) und nach (rechts) Schalten der Transition 
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Die gerichteten Kanten bestimmten die möglichen Ausführungsreihenfolgen der Ak- 


tivitäten. Aktivitäten können sequenziell, alternativ oder nebenläufig stattfinden. Die 


einzelnen Fälle sind nachfolgend gemäß van der Aalst & Stahl (W. van der Aalst & 
Stahl, 2011) beschrieben und in Abbildung 8 dargestellt. 
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Im Falle einer sequenziellen Ausführung der Aktivitäten x und y muss die 
eine Aktivität abgeschlossen sein, bevor die andere Aktivität beginnen 
kann. Im Fallx vor y muss also x zuerst zu Ende sein und erst danach kann y 
beginnen. 

Falls entweder x oder y ausgeführt werden soll, spricht man von einer alter- 
nativen Ausführung. Möglich ist auch, zu bestimmen, dass danach z ausge- 
führt werden soll. 

Wenn die Aktivitäten x und y keine kausale Beziehung zueinander haben 
und beide ausgeführt werden sollen, so können diese nebenläufig ausge- 
führt werden. Dax und y dann voneinander unabhängig sind, kann entwe- 
der zuerstx und dann y stattfinden oder umgekehrt. Es ist auch möglich, 
dass beide zu einem Zeitpunkt stattfinden. Im Extremfall beginnen und en- 
den sie jeweils gleichzeitig, das heißt in einem Schritt. Es ist aber auch mög- 
lich, dass sich x und y nur überlappen (x beginnt, y beginnt, x endet, y 
endet) oder dass x beginnt und endet, während y ausgeführt wird (y be- 
ginnt, x beginnt, x endet, y endet) (Oberweis, 1990). Soll z ausgeführt wer- 
den, nachdem x und y fertig ausgeführt wurden, ist eine Synchronisation 


erforderlich. 


4.3 Die Geschäftsprozesssicht 


sequenzielle Ausführung ( ) () () 


alternative Ausführung 


nebenläufige Ausführung () () 


Abbildung 8: Sequenzielle, alternative und nebenläufige Ausführung in Petri-Netzen 


Für Petri-Netze ist der Begriff des Pfades wichtig. Ein Pfad beschreibt den Weg von 


einem Knoten zu einem anderen Knoten über Kanten des Petri-Netzes. 


Definition 4.11: 

Pfad 

Sei N ein Petri-Netz N = (P,T, F), so ist P ein Pfad vom Knoten n, zum Knoten n; 
(ein Knoten kann eine Stelle oder eine Transition sein) eine Folge (Sequenz) 

(mi no- nk) sodass Mn) EFRfürl<si<k-1. 


Seit der Erfindung von Petri-Netzen sind viele Arbeiten dazu entstanden. Ein Beispiel 
dafür ist die Unterscheidbarkeit von Marken. In den ursprünglichen Petri-Netzen 
werden nur nicht unterscheidbare, gleichartige Marken verwendet. Die Unterscheid- 
barkeit, das heift individuelle Marken, ist inzwischen mit gefärbten Petri-Netzen 


(Jensen, 1987) und XML-Netzen (Lenz & Oberweis, 2003) gegeben. 
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4.3.2 Workflow-Netze 


Weitere Analysemöglichkeiten entstehen, wenn statt allgemein Petri-Netze speziell 
Workflow-Netze betrachtet werden. Nach van der Aalst & van Hee (W. van der Aalst 
& van Hee, 2004) ist der Begriff Workflow in diesem Fall ein Synonym für Geschäfts- 
prozess. Workflow-Netze sind eine Teilmenge der Petri-Netze. Jedes Workflow-Netz 
muss nach van der Aalst (W. M. van der Aalst, 1998) über eine Quelle und eine Senke 
verfügen. Eine Quelle (auch Input-Stelle genannt) ist eine Stelle, die einen leeren Vor- 
bereich hat, eine Senke (auch Output-Stelle genannt) ist eine Stelle mit einem leeren 
Nachbereich. Zusätzlich darf es keine Transition und keine Stelle geben, die nicht zur 
Verarbeitung von Geschäftsvorfällen beitragen kann. Das bedeutet, jede Stelle und 
jede Transition muss auf mindestens einem Pfad von der Quelle zur Senke liegen. Um 
die letzte Bedingung auszudrücken, nutzt van der Aalst (W. M. van der Aalst, 1998) 
die Eigenschaft „streng zusammenhängend", die einige Petri-Netze besitzen. Sie lässt 


sich wie in Definition 4.12 formal definieren (W. M. van der Aalst, 1998). 


Definition 4.12: 

streng zusammenhängend 

Ein Petri-Netz N = (P,T,F) ist streng zusammenhängend, wenn für jedes Kno- 
tenpaar x und y ein Pfad von x nach y existiert. 


Workflow-Netze sind nicht streng zusammenhängend. Dies ist auch darin begründet, 
dass Geschäftsprozesse in der Regel von einer Quelle zu einer Senke führen. Eine Be- 
dingung von Workflow-Netzen ist aber, dass das um eine Transition t* erweiterte 
Workflow-Netz streng zusammenhängend ist. Dabei muss die Senke des Workflow- 
Netzes der Vorbereich von t* und die Quelle der Nachbereich von t* sein. Damit lässt 
sich nun ein Workflow-Netz formal definieren. Van der Aalst (W. M. van der Aalst, 


1998) beschreibt dies wie in Definition 4.13. 
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Definition 4.13: 
Workflow-Netz 
Ein Petri-Netz N = (P,T,F) ist ein Workflow-Netz WF = (P,T,F), wenn und 
nur wenn: 
e WF zwei spezielle Stellen hat: 
- i ist eine Quelle, es gilt: e i = Ø 
- o ist eine Senke, es gilt: O «= Ø 


e Wenn eine Transition t* zum Petri-Netz N hinzugefügt wird, sodass die Stelle 
o mit der Stelle i verbunden wird ( ow = Ne > ©) dann ist das 


resultierende Petri-Netz streng zusammenhängend. 


4.3.3 Analysemethoden für Petri-Netze 


Petri-Netze wurden unter anderem wegen der mathematischen Eigenschaften und 
der damit verbundenen Analysemöglichkeiten für die Sicherheitsnetze ausgewählt. 


Einige untersuchbare Eigenschaften werden nachfolgend vorgestellt. 


Eine wichtige Eigenschaft ist die Erreichbarkeit einer Markierung m’ € M von einer 
Markierungm € M aus. Nach van der Aalst & Stahl (W. van der Aalst & Stahl, 2011, S. 


76) lässt sich Erreichbarkeit wie folgt definieren: 


Definition 4.14: 

Erreichbarkeit 

Eine Markierung m’ € M ist von einer Markierung m € M aus erreichbar, wenn 
eine Schaltfolge von m zu m’ existiert. 


Zusätzlich lässt sich dann die Erreichbarkeitsmenge E (m) definieren (Priese & Wim- 


mel, 2008, S. 52). 
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Definition 4.15: 

Erreichbarkeitsmenge 

Die Erreichbarkeitsmenge € (m) ist die Menge aller Markierungen, die von der 
Markierung m € M aus erreichbar sind. 


Zu einer Markierung m kann die Erreichbarkeitsmenge mittels eines Erreichbarkeits- 
graphen ermittelt werden. Die Knoten repräsentieren die erreichbaren Markierun- 
gen. Jede gerichtete Kante zwischen den Knoten repräsentiert eine Transition, die das 
Netz von einem Zustand in einen anderen Zustand überführt. Bei komplexeren Petri- 
Netzen, ggf. sogar mit mehreren Marken in einer Markierung, kann das Erstellen des 
Erreichbarkeitsgraphen aufwendig sein. Es gibt auch Fälle, in denen der Erreichbar- 
keitsgraph unendlich viele Knoten hat. Der Erreichbarkeitsgraph kann algorithmisch 
berechnet werden (W. van der Aalst & Stahl, 2011, S. 115ff.). Zusätzlich gibt es weitere 


Analysemöglichkeiten beziehungsweise Eigenschaften für Workflow-Netze. 


86 


5  Informationsvertraulichkeits- und 
Datenschutz-Netze 


Im nachfolgenden Kapitel werden Aspekte der Informationssicherheit und des Da- 
tenschutzes in die Unternehmensmodellierung integriert. Einen Schwerpunkt bildet 
die Modellierung von Geschäftsprozessen (das heißt der betrieblichen Ablauforgani- 
sation) mittels Petri-Netzen!. Jedoch können weder Informationssicherheit noch Da- 
tenschutz ausschließlich innerhalb der Ablauforganisation hinreichend betrachtet 
werden. Weitere Aspekte aus der Aufbauorganisation und den Datenstrukturen wer- 
den daher in die Modellierung integriert. So entsteht eine neue, umfassende und in- 


tegrierende Sicht. 


Informationsvertraulichkeits- und Datenschutz-Netze 


N 


Informationsvertraulichkeits-Netze Datenschutz-Netze 
klassenbasierte rollenbasierte Zweckbindungs- Annotation zur Analyse der 
Informations- Informations- Netze Datenminimierung 
vertraulichkeits- vertraulichkeits- 
Netze Netze 


Abbildung 9: Übersicht der verschiedenen Netze 


Die verschiedenen Netze, welche zunächst entwickelt und anschließend zu Informa- 


tionsvertraulichkeits- und Datenschutz-Netzen zusammengeführt werden, sind in 


1 Genauer gesagt wird auch die Unterscheidbarkeit von Marken, eine Eigenschaft von höheren Petri-Net- 
zen, benötigt. 
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Abbildung 9 dargestellt. Zunächst wird im ersten Unterkapitel Informationsvertrau- 
lichkeit als Aspekt der Informationssicherheit betrachtet, danach werden die Grunds- 
ätze der Zweckbindung und der Datenminimierung aus dem Datenschutzrecht im 
zweiten Unterkapitel behandelt. Anschließend werden die Betrachtungen in einem 
neuen, die verschiedenen Aspekte umfassenden Informationsvertraulichkeits- und 


Datenschutz-Netz integriert. 


5.1 Informationsvertraulichkeit 


Informationen haben eine Schlüsselrolle bei der Ausführung von Geschäftsprozessen. 
Dies schließt Informationen, die bereits vor der Geschäftsprozessausführung existie- 
ren, genauso ein wie Informationen, die während der Geschäftsprozessausführung 
erzeugt werden. Dabei gibt es in der Regel Anforderungen an die Informationsver- 
traulichkeit. Die Notwendigkeit der Sicherstellung der Informationsvertraulichkeit 
kann sich u. a. aufgrund von Gesetzen, organisationsfremden und eigenen Richtlinien 
oder wirtschaftlichen Interessen ergeben. Dabei muss nicht unbedingt zwischen Ge- 
schäfts- und Betriebsgeheimnissen unterschieden werden. Geschäftsgeheimnisse 
stammen aus der „kaufmännisch-geschäftlichen Sphäre des Unternehmens“ (Müller, 
2013, S. 119) und Betriebsgeheimnisse aus den „technischen Betriebsabläufen“ (Mül- 
ler, 2013, S. 119). Beide Typen können nach Müller (Müller, 2013, S. 119) einen er- 


heblichen Unternehmenswert darstellen. 


Um Informationsvertraulichkeit zu erreichen, muss die „unautorisierte Informations- 
gewinnung“ verhindert werden (Eckert, 2018, S. 10). Um diese Anforderung in der 
Unternehmensmodellierung zu berücksichtigen, muss man unautorisierten von au- 
torisiertem Informationsgewinn je Information unterscheiden. Betrachtet man keine 
Geschäftsprozessinstanzen, sondern Geschäftsprozessmodelle, muss diese Unter- 


scheidung für Informationstypen vorgenommen werden. 
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Es bedarf dazu zunächst einer Festlegung, welche Ressourcen welche Informationen 
beziehungsweise Informationstypen autorisiert gewinnen dürfen. Ressourcen kön- 
nen dabei sowohl Menschen und Organisationen als auch IT-Systeme sein. Menschen 
können prozessbeteiligte Mitarbeiter des Unternehmens oder der Organisation 


selbst, aber auch Angehörige dritter Organisationen oder Privatpersonen sein. 


Eventuell kennt der Prozessmodellierer beispielsweise im Falle einer weisungsge- 
bundenen Auftragsverarbeitung die ausgelagerten Prozessschritte und die beteilig- 
ten Ressourcen innerhalb von dritten Organisationen einzeln und kann diese wie 
interne Prozessschritte auch modellieren. Es kann aber auch sein, dass dem Prozess- 
modellierer ggf. die internen Prozessschritte und die damit verbundene Informati- 
onsgewinnung innerhalb dieser dritten Organisationen nicht bekannt sind; somit 
muss es möglich sein, diese Organisationen im Ganzen als eine Ressource und ihre 
Tätigkeit zwischen zwei internen Prozessschritten ggf. auch als einen einzelnen Pro- 
zessschritt zu betrachten. Auch IT-Systeme können Informationen gewinnen und 
müssen daher ebenfalls als möglicherweise informationsgewinnende Ressource im 


Nachfolgenden berücksichtigt werden. 


Gleichzeitig ist nicht jede Information überhaupt vertraulich. So gibt es beispiels- 
weise öffentliche Informationen, die jedem bekannt sind beziehungsweise bekannt 
sein dürfen. Ein Beispiel sind die im Katalog veröffentlichten Preise für verschiedene 
Produkte des Unternehmens. Für vertrauliche Informationen (im obigen Beispiel der 
Katalogpreise evtl. die Kalkulation der Katalogpreise) ist der Kreis der autorisierten 
Ressourcen festzulegen. Hierzu werden im Folgenden zwei Möglichkeiten vorgestellt. 
Zum einen die Einstufung in Vertraulichkeitsklassen und zum anderen ein rollenba- 
siertes Vorgehen. Beide Möglichkeiten können später auch mit weiteren Zugriffsbe- 
schränkungen, beispielsweise in Abhängigkeit des Ausführungsortes oder der Zeit, 


kombiniert werden (vgl. Decker, 2011; Schiefer, 2015). 
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5.1.1 Klassenbasierte Informationsvertraulichkeit 


Die Klassifikation von einzelnen Elementen mit dem Ziel, Sicherheitsanforderungen 
durchzusetzen, ist in der Sicherheitsforschung weit verbreitet. Eine der ersten Arbei- 
ten hierzu ist das Bell-LaPadula-Modell (Bell & LaPadula, 1976), welches Elemente 
von Informationssystemen sowie Mechanismen, Regeln und Sicherheitsklassifikatio- 
nen für Zugriffssteuerungen beschreibt (McLean, 1985). Auch in der Praxis wird die 
Klassifikation von Informationen zu ihrem Schutz eingesetzt. So gaben in der neusten 
<kes>/Microsoft-Sicherheitstudie 83 Prozent der Befragten an, dass in ihrem Unter- 
nehmen „eine Klassifikation von Daten hinsichtlich ihrer Sensibilität“ erfolgt (<kes>, 


2018, S. 64). 


Für die Klassifikation von Informationsvertraulichkeit wird im Rahmen des vorlie- 
genden Lösungsansatzes eine Ordinalskala verwendet (vgl. Landwehr, Heitmeyer & 
McLean, 1984). Mittels der Ordinalskala ist es möglich, Information basierend aufih- 
rer Sensibilität zu klassifizieren - je höher die Klasse einer Information, desto vertrau- 
licher ist die Information. Eine beispielhafte Ordinalskala für den Einsatz im 
Unternehmen wird in Tabelle 2 beschrieben. Die Klasse 0 wird vergeben, wenn es 
sich um eine nicht vertrauliche Information (das heißt eine Information, die der Öf- 
fentlichkeit bekannt sein darf) handelt. Die aufsteigenden Klassen von 1 bis 4 stehen 
jeweils für entsprechende Informationsvertraulichkeitsklassen. Die Klasse 4 wird nur 
für Informationen vergeben, die der höchsten Geheimhaltungsstufe im Unternehmen 


unterliegen. 
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Tabelle 2: Ordinalskala für die Informationsvertraulichkeitsklassifikation 


Informations- Beschreibung 


Vertraulichkeits- 
klasse 


0 frei zugänglich: Die Information darf der Allgemeinheit zu- 
gänglich sein. Zum Beispiel ein Jahresbericht auf der Web- 
seite eines Unternehmens. 


1 beschränkt: Die Information darf an Dritte weitergegeben 
werden, wenn eine entsprechende vertragliche Vereinba- 
rung den Schutz der Information regelt. Ein typisches Bei- 
spiel ist eine Konstruktionszeichnung eines Teils einer 
Produktionsmaschine, die im Rahmen einer bestehenden 
und vertraglich geregelten Kooperation zweier Unterneh- 
men ausgetauscht wird. 


2 vertraulich: Die Information darf nur unternehmensintern 
verwendet werden, beispielsweise sensible Informationen 
über einen einzelnen Kunden. 


3 geheim: Die Information ist nur einem spezifischen Perso- 
nenkreis zugänglich, beispielsweise strategische Informatio- 
nen über Teile des Geschäftsmodells eines Unternehmens 
wie Selbstkosten eines Produktes. Ein anderes Beispiel wä- 
ren Konstruktionszeichnungen eines zukünftigen Produktes. 


4 streng geheim: Die Anzahl der Personen, die Zugriff auf die 
Information besitzen, ist sehr gering, beispielsweise Infor- 
mationen, die den Fortbestand eines Unternehmens bei Zu- 
griff durch Dritte (Konkurrenten, Öffentlichkeit) 
unmittelbar gefährden könnten. 


Um nun festlegen zu können, welche Ressourcen autorisiert sind, eine klassifizierte 
Information zur Kenntnis zu nehmen, ist eine Einstufung der Ressourcen in passende 
Vertrauenswürdigkeitsklassen notwendig. Vertrauenswürdigkeit betrachtet nach 
Hardin (Hardin, 2002) das Ergebnis der Einschätzung einer Ressource hinsichtlich 
der Frage, ob die Ressource sich so verhalten wird, wie das Vertrauen eines Dritten 


in die Ressource es erfordert. 
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Tabelle 3: Ordinalskala für die Vertrauenswürdigkeitsklassifikation von Ressourcen 


Vertrauens- Beschreibung 


würdigkeits 
-klasse 


0 nicht vertrauenswürdig: beispielsweise eine externes IT- 
System in einer unsicheren Umgebung oder eine Person mit 
schweren finanziellen Schwierigkeiten (und dadurch be- 
dingter starker Anfälligkeit für Korruption). 


1 gering vertrauenswürdig: beispielsweise eine unterneh- 
mensexterne Ressource, mit der eine vertragliche, jedoch 
nur zivilrechtlich durchsetzbare Vereinbarung besteht. Dies 
kann eine ganze Organisation oder auch nur ein einzelner 
Mitarbeiter beziehungsweise ein einzelnes System sein. 


2 vertrauenswürdig: beispielsweise eine unternehmensex- 
terne Ressource, bei der vertrags- und strafrechtliche 
Durchsetzungsmöglichkeiten der Vereinbarung bestehen, o- 
der eine unternehmensinterne Ressource. 


3 stark vertrauenswürdig: beispielsweise eine unternehmens- 
interne Person, bei der vertrags- und strafrechtliche Durch- 
setzungsmöglichkeiten der Vereinbarung bestehen, oder 
eine unternehmensinterne Maschine mit speziellen Schutz- 
mechanismen (zum Beispiel vollständige Verschlüsselung). 


4 besonders vertrauenswürdig: beispielsweise Personen mit 
einer intrinsischen Motivation zum Schutz der Informati- 
onsvertraulichkeit. 


Vertrauenswürdigkeit ist folglich eine Eigenschaft einer Ressource, das heift einer 
Person oder eines Systems?. Zur Klassifizierung der Vertrauenswürdigkeit von Res- 
sourcen wird eine weitere Ordinalskala verwendet (eine mögliche Skala ist in Tabelle 
3 dargestellt). Da eine Ressource bis zu ihrer Klassifikation keinerlei Zugriff auf ver- 
trauliche Informationen erhalten darf, ist der initiale Wert 0. Die Klasse 0 steht dafür, 
dass eine Ressource überhaupt nicht vertrauenswürdig ist. Folglich darf sie (ggf. bis 


zu einer Erstklassifizierung beziehungsweise Reklassifizierung aufgrund veränderter 


2 In dieser Arbeit werden sowohl Personen als auch Systeme wie beispielsweise ein Server oder ein Soft- 
waresystem als Ressource betrachtet. Personen können entweder konkrete natürliche Personen oder 
Organisationen bzw. Organisationseinheiten sein. 
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Umstände) keinen Zugriff auf vertrauenswürdige Informationen erhalten. Je höher 


die Klassifikation, desto vertrauenswürdiger ist die Ressource. 


Um darauf aufbauend nun klassifikationsbasierte Informationsvertraulichkeit in Ge- 
schäftsprozessmodellen beschreiben, betrachten und analysieren zu können, werden 
daher neben dem Geschäftsprozessmodell auch die Verknüpfungen zu Ressourcen- 
modellen (zwecks Betrachtung der Vertrauenswürdigkeit) und Objektmodellen 
(zwecks Betrachtung der Informationsvertraulichkeit) beachtet. Um die Analyse ei- 
nes Geschäftsprozessmodells hinsichtlich Informationsvertraulichkeit zu vereinfa- 
chen, werden existierende Petri-Netze mit den oben beschriebenen Artefakten zu den 
sogenannten klassenbasierten Informationsvertraulichkeits-Netzen (cICN) erwei- 


tert, siehe Definition 5.1: 


Definition 5.1: 

klassenbasiertes Informationsvertraulichkeits-Netz 

Ein klassenbasiertes Informationsvertraulichkeits-Netz ist ein TupelcICN = 

(PEER DIT REITE C CTW Ym 

e P als eine endliche Menge von Stellen, 

e T als eine endliche Menge von Transitionen, 

oO PAT =Ø 

e F C(PXT)U (T xP) als eine Flussrelation, 

e R als eine endliche Menge von Ressourcen, 

e ] als eine Menge von Informationsobjekten, 

e  ITalseine Menge von Informationsobjekttypen, 

e RT S (P(R) xT) als eine Allokation von Ressourcen zu Transitionen, 

e ITPE ({IT U Ø} x P) als eine Allokation von jeweils keinem oder einem Infor- 
mationsobjekttypen zu einer Stelle, 

e C:I —> Nals die Informationsvertraulichkeit der Information, 

e CT:IT > Nals die Informationsvertraulichkeit des Informationsobjekttyps 
und 


e TW:R > Nals die Vertrauenswürdigkeit einer Ressource r. 
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Das Beispiel aus Tabelle 2 zugrunde gelegt, gilt für die Informationsvertraulichkeit 
C:I > {0,1,2,3,4}, und für die Vertrauenswürdigkeit gilt nach Tabelle 3 entsprechend 
TW:R > {0,1,2,3,4}. Zur Veranschaulichung zeigt Abbildung 10 einen Ausschnitt aus 
einem klassenbasierten Informationsvertraulichkeits-Netz. Die Menge der Stellen 
umfasst im abgebildeten Ausschnitt {p5, p6, p7}, die Menge der Transitionen {Kar- 
tendaten speichern, Kartendaten kürzen}. Die Ressourcen sind rot hervorgehoben, 
und in Klammern ist bereits jeweils ihre Vertrauenswürdigkeit angegeben, die Menge 
ist hier {Zahlungssystem, Kartenbesitzer}. Dementsprechend ist TW(Zahlungssys- 
tem)=4 und TW(Kartenbesitzer)=3. Mit der Transition Kartendaten speichern sind 
beide Ressourcen verknüpft, mit der Transition Kartendaten kürzen ist nur die Res- 
source Zahlungssystem verknüpft. Da noch keine Markierung angegeben ist, sind 
keine Informationsobjekte zu sehen. Die Menge der Informationsobjekttypen ist in 
dem Ausschnitt grün dargestellt {Zahlungsdaten, Zahlmittelübersicht}. Ihre jeweilige 
Informationsvertraulichkeit ist in Klammern angegeben: CT(Zahlungsdaten)=3 und 


CT(Zahlmittelübersicht)=1. Die Allokationen RT und ITP sind grafisch zu erkennen. 


Zahlungssystem (4) 


Zahlungsdaten (3) Kartenbesitzer (3) Zahlungsdaten (3) Zahlungssystem(4) Zahlmittelübersicht (1) 
p5 Kartendaten p6 Kartendaten p7 
speichern kürzen 


Abbildung 10: beispielhafter Ausschnitt eines einfachen klassenbasierten Informationsvertraulichkeits- 
Netzes 


Die Markierung eines klassenbasierten Informationsvertraulichkeits-Netzes ist 
durch Definition 5.2 konkretisiert. Die Marken sind jeweils Informationsobjekte, für 
die Modellierung eines reinen Kontrollflusses wird ein leeres Informationsobjekt ver- 
wendet. Das bedeutet, dass in jeder Stelle keines, eines oder mehrere Informations- 
objekte der aus der Menge I liegen. Dementsprechend werden die Stellen P auf die 


Potenzmenge von I abgebildet. 
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Definition 5.2: 

Markierung eines klassenbasierten Informationsvertraulichkeits-Netzes 

Die Markierung eines klassenbasierten Informationsvertraulichkeits-Netzes 
cICN ist definiert als 

O gole >): 

Die Menge M ist die Menge der Markierungen. 


Nachfolgend werden zwei Hauptmerkmale von Informationsvertraulichkeits-Netzen, 
die Vertrauenswürdigkeit einer Transition und die Informationsvertraulichkeit einer 
Stelle erläutert. Die Informationsvertraulichkeit einer Stelle wird bestimmt durch die 
höchste Informationsvertraulichkeitsklasse von allen der Stelle zugewiesenen Infor- 
mationsobjekten. Eine Zuweisung erfolgt mithilfe einer Anfangsmarkierung (Infor- 
mationsobjekte sind Marken der Informationsvertraulichkeits-Netze) und den 
nachfolgenden Schaltvorgängen. Wenn beispielsweise der Objekttyp „Bestellung“ mit 
der Informationsvertraulichkeitsklasse 1 der Stelle „eingegangene Bestellung“ zuge- 
wiesen wird und bisher kein weiteres Objekt der Stelle zugewiesen wurde, ist die Ver- 
traulichkeitsklasse der Stelle demnach 1. Allgemein wird die 


Informationsvertraulichkeit einer Stelle wie in Definition 5.3 definiert: 


Definition 5.3: 
Informationsvertraulichkeit einer Stelle 
Die Informationsvertraulichkeit einer Stelle C (p,m) ist abhängig von der In- 
formationsvertraulichkeit aller Informationsobjekte C(i), welche der Stelle unter 
der Markierung m zugewiesen sind. Dementsprechend ist C (p, m) definiert: 
C@,m)= max C(i) 
iem(p) 


Die Stelle nimmt also die höchste Schutzklasse der enthaltenen Informationsobjekte 
an, weil davon ausgegangen wird, dass es nicht möglich ist, auf die Stelle zuzugreifen, 


ohne möglicherweise Kenntnis aller enthaltenen Objekte zu erhalten. Wenn man sich 
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dieser Annahme nicht anschließen möchte, so kann man die dann entstehenden 
Netze auf obige Netze transformieren, indem man den Zugriffsautomatismus auf die 
Stelle (dieser muss dann ja eine hohe Vertrauenswürdigkeit besitzen) als eigene 
Transition abbildet und so die Marken herausgreift, dann in eine weitere Stelle ver- 
schiebt und somit den Zugriff durch die eigentliche Transition ermöglicht. Der vorge- 


schlagene Ansatz bleibt folglich weiterhin anwendbar. 


Die Vertrauenswürdigkeit einer Transition ist definiert als die minimale Vertrauens- 
würdigkeitsklasse aller der Transition zugewiesenen Ressourcen. Ressourcen kön- 
nen statisch den Transitionen eines Geschäftsprozessmodells oder dynamisch 
während der simulierten Ausführung eines Geschäftsprozesses zugewiesen werden 
(Schuster, 2012). Die unterschiedlichen Zuweisungsstrategien können auch kombi- 
niert werden. Wenn beispielsweise dynamisch eine Person „Service-Mitarbeiter“ mit 
einer Vertrauenswürdigkeit von 2 und statisch eine Maschine „Bestellsystem“ mit ei- 
ner Vertrauenswürdigkeit von 1 einer Transition „Kunden informieren“ zugewiesen 
sind, so hat die Transition eine Vertrauenswürdigkeit von 1 (als Minimum der Ver- 
trauenswürdigkeiten aller zugewiesenen Ressourcen). In der vorliegenden Arbeit 
wird nur die statische Zuweisung weiterverfolgt, weil für die dynamische Zuweisung 
andere Arbeiten wie beispielsweise Schuster (Schuster, 2012) existieren. Allgemein 


wird die Vertrauenswürdigkeit einer Transition wie folgt definiert: 


Definition 5.4: 

Vertrauenswürdigkeit einer Transition 

Die Vertrauenswürdigkeit einer Transition TW (t) ist abhängig von der Ver- 
trauenswürdigkeit aller Ressourcen TW (r), die der Transition zugewiesen sind. 
TW (t) ist definiert als: 


TW(t) = W(r) 


min IE 
r e{r|(r,t)ERT} 
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Ablauf-Informationsvertraulichkeit 


Die Informationsvertraulichkeit im Ablauf (Ausführung oder Simulation) eines Ge- 
schäftsprozesses ist gewährleistet, wenn keine unautorisierte Kenntnisnahme oder 
Weitergabe von Informationen während der Ausführung des Geschäftsprozesses er- 
folgt. Dazu muss für jede Transition in einem Geschäftsprozess immer gelten: Transi- 
tionen dürfen nur Marken (das heißt Informationsobjekte) von Eingangsstellen 
konsumieren, die eine Informationsvertraulichkeit C(p, m) besitzen, welche kleiner 
oder gleich der eigenen Vertrauenswürdigkeit ist (siehe Definition 5.5). Dadurch wird 
verhindert, dass vertrauliche Informationen von nicht hinreichend vertrauenswürdi- 
gen Transitionen (beziehungsweise von nicht hinreichend vertrauenswürdigen Res- 


sourcen, die der Transition zugewiesen sind) verarbeitet werden. 


Darüber hinaus dürfen Transitionen nur Marken (das heißt Informationsobjekte) 
produzieren, die einen Vertraulichkeitswert haben, welcher kleiner oder gleich dem 
eigenen Vertrauenswürdigkeitswert ist. Dies bedeutet auch, dass es möglich ist, dass 
eine Transition Informationsobjekte produziert, deren Vertraulichkeit kleiner der ei- 
genen Vertrauenswürdigkeitsklasse ist. Dies verletzt die „No-write-down-Regel“ von 
Bell & LaPadula (Bell & LaPadula, 1976). Die Regel verhindert, dass jemand unbe- 
wusst oder bewusst vertrauliche Informationen deklassifiziert und so Dritten zu- 
gänglich macht. Jedoch stehen anders als bei Bell & LaPadula (Bell & LaPadula, 1976) 
in der vorliegenden Arbeit strukturierte Prozesse zur Verfügung, sodass aufgrund des 
Prozesses kontrolliert wird, wann ein „Write down“ erfolgt (beispielsweise weil be- 
stimmte Informationen aus einem Informationsobjekt entfernt wurden), und welche 
Informationstypen mit einer niedrigeren Vertraulichkeitsklasse geschrieben werden. 


Deswegen wird ein „Write down“ bewusst zugelassen. 


Anders sieht es mit dem „Write up“ aus. Bell & LaPadula (Bell & LaPadula, 1976) las- 
sen dies mit dem Argument zu, dass der Schutz der Information nur dadurch verbes- 
sert wird, indem man den Zugriff einschränkt. Hier wird dies bewusst nicht 


ermöglicht, weil man so erreicht, dass diese Klassifizierung nur durch vertrauens- 
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würdige Ressourcen (dies können auch IT-Systeme sein) vorgenommen wird. Dahin- 
ter steht die Überlegung, dass es notwendig ist, eine Vertrauenswürdigkeitsklasse zu 
besitzen, um vertrauenswürdig entscheiden zu können, ob die Information nur für 
diese Vertraulichkeitsklasse gilt oder auch für niedrigere Klassen bereitstehen soll. 
Deswegen wird ein „Write up“ nicht gestattet. Biba (Biba, 1977) gestattet ebenfalls 
kein „Write up“ mit dem Ziel, die Integrität der Informationen zu fördern. Wenn in 
weiteren Arbeiten das Schutzziel Integrität in den Ansatz einbezogen werden soll, ist 


das Vorhandensein des Prinzips bereits ein möglicher Anknüpfungspunkt. 


Die Informationsvertraulichkeit der Stelle im Nachbereich der Transition, welche die 
erzeugte Marke aufnimmt, bestimmt die Vertraulichkeit der produzierten Marke. 
Wenn die Informationsvertraulichkeit der Ausgangsstelle nicht bestimmt ist, kann 
die Transition die Informationsvertraulichkeit der produzierten Marke selbst bestim- 
men und dadurch die Informationsvertraulichkeit der aufnehmenden Ausgangsstelle 
dynamisch festlegen. Eine Transition kann wie schon erörtert eine Marke produzie- 
ren, die eine geringere Informationsvertraulichkeit besitzt als die eingehende Marke. 
Dies ist nützlich, wenn beispielsweise der Informationsgehalt eines Informationsob- 
jektes durch die Transition reduziert wurde (zum Beispiel, wenn nur noch vier statt 
alle Stellen einer Kreditkartennummer weiterverarbeitet werden). Dies kann - als Er- 


weiterung der Schaltregel - als Definition 5.5 formalisiert werden. 


Ein großer Vorteil der Integration der Informationsvertraulichkeit in Petri-Netze ist, 
dass vorhandene Analyseverfahren weiter genutzt beziehungsweise auf die Eigen- 
schaften von Informationssicherheits-Netzen angewandt werden können. Dies sollan 
einem Beispiel verdeutlicht werden. Die genauen Verfahren sind im nachfolgenden 


Kapitel beschrieben. 
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Definition 5.5: 

klassenbasierte Ablauf-Informationsvertraulichkeit 

Wenn C(p, m) die Informationsvertraulichkeit einer Stelle p € P unter einer Mar- 

kierung m € M und TW (t) die Vertrauenswürdigkeit einer Transition t € T ist, 

dann können die Bedingungen der Schaltregel für eine aktivierte Transition t er- 
weitert werden und es ergibt sich folgende Schaltregel: 

e In einem klassenbasierten Informationsvertraulichkeits-Netz cICN = 
(P,T,F,R,I,IT,RT,ITP,C,CT,TW) ist eine Transition t € T genau dann un- 
ter einer Markierung m: P > P(I) aktiviert, wenn 
Vpe et: m(p) + Ø, 

VpeE et: C(p,m) < TW(t) und 
vp E te»: ViteEete C(it)<TW(t). 

e Eine aktivierte Transition kann schalten. 


e Wenn eine Transition t € T schaltet, wird die Markierung m in die Markie- 
rung m’ überführt. m! lässt sich wie folgt ableiten: 

o VpE& etUte :m'(p)=m(p) 

o und\Vp Eet: m’(p) = m(p)\fixonsumiert } (wobei für verschiedene Stellen p 
im Vorbereich der Transition verschiedene iķonsumiert von der Transition 
konsumiert werden können). Für ikonsumiert Muss gelten igonsumiert E M(p). 

o undVp E te:m’(p))m(p) U {iproduziert} (wobei für verschiedene Stellen p 
im Nachbereich verschiedene iyroauziert Von der Transition produziert wer- 


den können). 
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Dabei gilt weiterhin: 

e Viproauziere: C(I) < TW (t) 

e Für eine Stelle p im Nachbereich der Transition und für das für diese Stelle 
produzierte ner DE aR ONA  ECE 
ITP (p) 

Sonst im Standardfall, wenn durch Transition und Nachbereich nicht anders 
definiert (beispielsweise weil Informationen zum Informationsobjekt i hinzu- 
gefügt oder entfernt werden und dadurch vom Standardfall abgewichen 
wird): 


lioa) — Clikonsumiert) 


Beispiel 

Abbildung 11 zeigt ein klassenbasiertes Informationsvertraulichkeits-Netz, welches 
den Geschäftsprozess einer Bestellabwicklung darstellt. Jeder Transition ist im Bei- 
spiel mindestens eine Ressource zugeordnet; die Vertrauenswürdigkeit der jeweili- 
gen Ressource ist in Klammern angegeben. Die Transition „informiere Kunde“ 
benötigt zur Ausführung zwei Ressourcen: die Maschine „Bestellsystem“ mit der Ver- 
trauenswürdigkeit 1 und die personelle Ressource „Mitarbeiter Kundenhotline“ mit 
der Vertrauenswürdigkeit 2. Gemäß Definition 5.4 beträgt die Vertrauenswürdigkeit 
der Transition „informiere Kunde“ Wert 1. Für die meisten Stellen sind Informations- 
objekttypen verknüpft und unter der jeweiligen Stelle angegeben. In Klammern ist 
jeweils die Informationsvertraulichkeit der Informationsobjekttypen benannt. Im 
Beispiel sind für einige Stellen die Informationsobjekttypen nicht statisch definiert; 
eine solche Stelle ist beispielsweise „abgelehnte Bestellung“. Das bedeutet nicht, dass 
Informationsobjekte in der Stelle überhaupt nicht vertraulich sind. Es bedeutet, dass 
die Informationsvertraulichkeit nicht für alle möglichen Prozessinstanzen vorher sta- 
tisch bestimmt werden kann. Die Informationsvertraulichkeit ist abhängig von der 
Transition, die ein Informationsobjekt in der Stelle ablegt, und der spezifischen Pro- 


zessinstanz. Abhängig von der dynamisch zugewiesenen Informationsvertraulichkeit 
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kann dann die nachfolgende Transition schalten oder nicht. Im Falle der Stelle „abge- 


lehnte Bestellung“ kann die nachfolgende Transition „informiere Kunde“ nur schal- 


ten, wenn die dynamisch zugewiesene Informationsvertraulichkeit maximal 1 


beträgt. Da das Informationsobjekt von der Transition „zurückweisen“ oder von der 


Transition „nicht erfolgreiche Zahlung“ erzeugt wird, kann seine Informationsver- 


traulichkeit maximal 3 betragen. 


tem (1) 
I$ Mitarbeiter Kundenhotline (2) (R) 


J p n (1) 


eingegangene Bestellung zurückweisen 


& Bestellung (1) 


-O 


abgelehnte Bestellung informiere Kunde informierter Kunde 


3 


Details zu Zahlart EC Cash erfassen 


Js tem (1) 


annehmen angenommene Bestellung Zahlart auswählen 


Ñ Bestellung (1 


-O 


ausgewählte Zahlart F kredi 


Zahlungsdetails 


Details zu Zahlart Kreditkarte erfassen 


autorisiere Zahlung 


Zahlung ausführen laufende Zahlung 7 (3 


lehne zaniha ab 


J z m (3) 


A) 


bezahlte Bestellung 
Ñ Be: 1) 


Abbildung 11: Informationsvertraulichkeits-Netz zur Darstellung einer Bestellabwicklung 


Die Analyse der Restriktionen in Informationsvertraulichkeits-Netzen kann auf vor- 


handene Verfahren zurückgeführt werden. Beispielsweise kann die Erreichbarkeits- 


analyse genutzt werden, um zu bestimmen, ob eine bestimmte Markierung des Petri- 


Netzes - ausgehend von einer Startmarkierung - erreicht werden kann oder nicht. 
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Tabelle 4: Beispielschaltfolge 1 


schaltende Transition Nach dem Schalten Infor- 


mationsobjekt iin Stelle 


a eingegangene Bestellung 1 
prüfe Bestellung geprüfte Bestellung 1 
annehmen angenommene Bestellung 1 
Zahlart auswählen ausgewählte Zahlart 1 
Details zu Zahlart Kreditkarte erfas- Zahlungsdetails 3 
sen 

Zahlung ausführen Zahlstatus 2 
lehne Zahlung ab abgelehnte Bestellung 


Blockierung, weil die Marke über 
eine zu hohe Informationsvertrau- 
lichkeit verfügt, um von der nächsten 
Transition verarbeitet zu werden. 


Tabelle 5: Beispielschaltfolge 2 


schaltende Transition Nach dem Schalten Informa- 


tionsobjekt i in Stelle 


= eingegangene Bestellung 1 
prüfe Bestellung geprüfte Bestellung 1 
annehmen angenommene Bestellung íl 
Zahlart auswählen ausgewählte Zahlart 1 
Details zu Zahlart Kreditkarte erfassen Zahlungsdetails 3 
Zahlung ausführen Zahlstatus 2 
lehne Zahlung ab abgelehnte Bestellung íl 
informiere Kunden informierter Kunde 0 
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Im Beispiel wird entsprechend die folgende Fragestellung untersucht: Ist eine 
Schlussmarkierung (eine Marke in „informierter Kunde“ oder eine Marke in „bezahlte 
Bestellung“) unter einer gegebenen Anfangsmarkierung erreichbar? Tabelle 4 und 
Tabelle 5 zeigen zwei verschiedene Schaltfolgen für den dargestellten Geschäftspro- 
zess der Bestellabwicklung. In der Beispielschaltfolge 1 wird eine Blockierung er- 
kannt, die durch das Objekt mit der Informationsvertraulichkeit 2 in der Stelle 
„abgelehnte Bestellung“ entsteht. Die nachfolgende Transition kann nicht schalten, 
und es kann keine Schlussmarkierung erreicht werden, das heißt, der Geschäftspro- 
zess kann nicht abgeschlossen werden. Die Restriktion ist sinnvoll, weil die Ressource 
„Bestellsystem“ nicht auf Informationen über bestimmte, nicht erfolgreiche Zahlvor- 


gänge zugreifen soll (zum Beispiel bei Missbrauch von Kreditkarten). 


5.1.2 Rollenbasierte Informationsvertraulichkeit 


Mithilfe der gerade vorgestellten klassenbasierten Informationsvertraulichkeit las- 
sen sich bereits einige typische Anforderungen an die Informationsvertraulichkeit ge- 
rade in kleineren Organisationen umsetzen. Allerdings lassen sich die beispielhaften 
Anforderungen „Kenntnisnahme nur für Mitarbeiter der Fachabteilung Bestellab- 
wicklung“ oder „Kenntnisnahme nur durch Mitarbeiter des Projektes Bestellprozess- 
verbesserung“ damit nicht abbilden. Hierfür genügt es nicht, der Ressource nur das 
Attribut Vertrauenswürdigkeit zuzuordnen; im ersten Fall wäre eine Zuordnung zur 
Fachabteilung, im zweiten Fall eine (zusätzliche) Zuordnung zur Projektgruppe er- 
forderlich. Außerdem müssten auch die Informationsobjekte diese Beschränkung in 
geeigneter Weise kennen. Um diese Anforderung abbilden zu können, wird zusätzlich 
ein rollenbasiertes Verfahren verwendet. Die rollenbasierte Zugriffskontrolle wurde 
von Ferraiolo & Kuhn (Ferraiolo & Kuhn, 1992) entwickelt und wird inzwischen viel- 


fältig eingesetzt. 


Um dies mit Informationsvertraulichkeits-Netzen modellieren zu können, wird das 
klassenbasierte Informationsvertraulichkeits-Netz cICN wie folgt ergänzt (siehe De- 


finition 5.6): 
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Definition 5.6: 

Informationsvertraulichkeits-Netz 

Ein Informationsvertraulichkeits-Netz ist ein Tupel ICN = 

(EIERN ITF C CT, TW, RO, ROO, ROOT, RORY mit 

e P als eine endliche Menge von Stellen, 

e T als eine endliche Menge von Transitionen, 

è PAT=0, 

e F C(PXxT)U (T xP) als eine Flussrelation, 

e R als eine endliche Menge von Ressourcen, 

e I als eine Menge von Informationsobjekten, 

e JITals eine Menge von Informationsobjekttypen, 

e RT & (P(R) xT) als eine Allokation von Ressourcen zu Transitionen, 

e ITPE ({IT U Ø} x P) als eine Allokation von jeweils keinem oder einem Infor- 
mationsobjekttypen zu einer Stelle, 

e C:I > Nals die Informationsvertraulichkeit der Information, 

e CT:IT > Nals die Informationsvertraulichkeit des Informationsobjekttyps, 

e TW:R > Nals die Vertrauenswürdigkeit einer Ressource r, 

e RO als eine endliche Menge von Rollen, 

e ROO:I > P(P(RO)) als die Menge der Mengen der zugriffsberechtigten Rol- 
len zur Information, 

e ROOT: IT > P(P(RO)) als die Menge der Mengen der zugriffsberechtigten 
Rollen zum Informationsobjekttyp und 

e ROR:R > P(RO) als die Menge der Mengen der Rollen, welche als Berechti- 


‚gung der Ressource zugeordnet sind. 


Hinzu kommen eine endliche Menge an Rollen (RO) sowie die Funktionen ROO(i) 
und ROR(r). Die Funktion ROO(i) weist einem i eine Menge von Mengen 
{a1, a2, , an} zu. Jedes Element a, ist selbst wieder eine Menge, genauer gesagt eine 
Teilmenge aller Rollen (a, E RO). Die Funktion ROO(i) bildet somit eine Information 
i auf ein Mengensystem (Nef, 1977, S. 10) ab. ROO (i) beschreibt, welche Rolle(n) not- 


wendig sind, um eine Information i zu lesen oder zu verarbeiten. Rollen können mit 
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einem logischen ‚und‘ verknüpft sein. Dann sind alle so verknüpften Rollen notwen- 
dig, um auf eine Information zuzugreifen. Beispielsweise sollen für den Zugriff auf die 
Information „Abwicklungsdauer“ die Rolle „Fachbereich Bestellwesen“ und die Rolle 
„Projektgruppe Bestellprozessverbesserung“ benötigt werden. Diese Anforderung 


wird dann als eine Menge mit zwei Elementen abgebildet. 


Zusätzlich können Rollenanforderungen mit einem nicht exklusiven ‚oder‘ verknüpft 
sein. Beispielsweise soll es auch genügen, die Rolle „Geschäftsführer“ zu haben. Diese 
wird dann als einzelne Menge mit einem Elementin die Gesamtmenge aufgenommen. 
So ergibt sich für ROO (Abwicklungsdauer)={{Fachbereich Bestellwesen, Projekt- 


gruppe Bestellprozessverbesserung},{Geschäftsführer}}. 


Die Funktion ROR(r) liefert zu einer Ressource r eine Menge mit allen Rollen der 
Ressource zurück. Beispielsweise ist die Ressource „Adam“ mit den Rollen „Fachbe- 
reich Bestellwesen“ und „Projektgruppe Bestellprozessverbesserung“ und die Res- 
source „Eva" mit den Rollen „Controlling“, „Forderungsmanagement“ und „Ersthelfer“ 
verknüpft. Dementsprechend ist ROR(Adam)={Fachbereich Bestellwesen, Projekt- 
gruppe Bestellprozessverbesserung} und ROR(Eva)={Fachbereich Controlling, For- 


derungsmanagement, Ersthelfer}. 


Nun ist die Menge der notwendigen Rollen zum Zugriff auf eine Stelle zu definieren. 
Dabei wird wieder davon ausgegangen, dass es weiterhin nicht möglich ist, auf die 
Stelle zuzugreifen, ohne möglicherweise Kenntnis aller enthaltenen Objekte zu erhal- 
ten. Enthält eine Stelle ausschließlich das Informationsobjekt x und ist ROO(x) = 
{a}, {b}, so soll eine Transition t darauf zugreifen dürfen, wenn allen ihren zugeord- 
neten Ressourcen auch mindestens jeweils die Rolle a oder die Rolle b zugeordnet 


sind. 


Enthält die gleiche Stelle nun zusätzlich zu x das Informationsobjekt y und ist 
ROO(y) = {{b}, {c}, so soll eine Transition t auf die Stelle zugreifen dürfen, wenn jede 


ihrer zugeordneten Ressourcen mindestens eine der Rollenmengen {b} oder {a, c} als 
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Teilmenge ihrer Rollenmenge besitzt?. Also wenn für jedes r € {r|(r,t) € RT} gilt, 
dass ({ b} n ROR(r)) +ØvV ({ a,c} N ROR(r)) + Ø. Die Transition t könnte also bei- 
spielsweise schalten, wenn ihr ausschließlich eine Ressource u mit der einzigen Rolle 
b zugewiesen ist. Die Transition kann aber nicht schalten, wenn ihr zusätzlich eine 
Ressource v mit der einzigen Rolle c zugewiesen ist. Der Ressource v müsste bei- 


spielsweise zusätzlich die Rolle a zugewiesen sein. 


Für eine Stelle ist somit zunächst zu klären, welche Rollenmengen den Zugriff erlau- 


ben. Dazu wird die folgende ungeordnete Verknüpfung von Mengen definiert. 


Definition 5.7: 

Verknüpfung von Mengensystemen 

Seien A,,A,, ..., An Mengensysteme (Mengen, deren Elemente selbst wieder Men- 
gen sind.), so ist die Verknüpfung X dieser Mengensysteme: 

BAT, 

:= A, AIA, BI + KIA, 

= {a} U a, UU An |Q E AL Aa, E A, A Adn E An} 


Die minimale Verknüpfung dieser Mengensysteme ist: 
EIA E ix|xe KA, NA EA TE 


Die Definition 5.7 wird an einem kurzen Beispiel verdeutlicht. Dazu ist A, = 
{a}, {b}, fc, d}, A, = ffa}, {c}, {e}, und A; = {a}, fh. Dann ist die Verknüpfung 
A 2, =[lah, {a, c}, {a,e}, {a, f } {a,c}, {a,c,f}, {a,c,f} {a,e,f}, {b,c,f}, {b,e,f}, 
{c,d,f},{c,d,e,f}}. Die gekürzte Verknüpfung ist dann Rl'A 2,=ffa}, {b,c,f}, 
{b,e,f} {cd,f}}. 


x 


3 {a} oder {c} alleine genügen nicht, da mit nur {a} kein Zugriff auf y erlaubt wäre und mit nur {c} kein 
Zugriff auf x. 
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Damit lässt sich die Menge der zulässigen Mengenkombinationen zum Zugriff auf eine 


Stelle wie folgt definieren: 


Definition 5.8: 

Rollenmengensystem mit Zugriff auf eine Stelle 

Das Rollenmengensystem, das den Zugriff auf eine Stelle erlaubt ROP(p, m), 
ist abhängig von der Menge der zugriffsberechtigten Rollen zur Information i 
ROO(i), welche der Stelle unter der Markierung m zugewiesen sind. Dementspre- 
chend ist ROP (p, m) definiert: 

ROP (p,m) = 2I’ROO(I) i emp) 


In Definition 5.8 könnte statt der minimalen auch die ungekürzte Verknüpfung ver- 
wendet werden. Die minimale Verknüpfung ist jedoch für menschliche Betrachter 
besser zu lesen und hat die gleiche Konsequenz, da nicht auch das Vorhandensein ei- 
ner zugehörigen Obermenge geprüft werden muss, wenn bereits eine Teilmenge zum 
Zugriff genügt. Definition 5.5 kann mit den rollenbasierten Regeln zu Definition 5.9 


erweitert werden: 
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Definition 5.9: 

Ablauf-Informationsvertraulichkeit 

Wenn C(p, m) die Informationsvertraulichkeit einer Stelle p € P unter einer Mar- 
kierungm € M und TW (t) die Vertrauenswürdigkeit einer Transitiont € T 
sind, dann können die Bedingungen der Schaltregel für eine aktivierte Transition 
t erweitert werden, und es ergibt sich folgende Schaltregel: 


In einem Informationsvertraulichkeits-Netz ICN = 
(P,T,F,R,I,IT,RT,ITP,C,CT,TW,RO,ROO, ROOT, ROR) ist eine Transition 
t E T genau dann unter einer Markierung m: P > P (I) aktiviert, wenn 
Vpeet mp)#Ö, 

Vpreesitı C(pım) = 2W(&) 

wp E te: vitete: C(it)<TW(t) und 

vp Eet A vr e{r|(r,t) ERT}:3a; € ROP(p,m): a, = ROR(r) (a; ist 
eine Menge) 


Eine aktivierte Transition kann schalten. 


Wenn eine Transition t € T schaltet, wird die Markierung m in die Markie- 
rung m! überführt. m! lässt sich wie folgt ableiten: 

vp EetUte: m'(p) = m(p) 

und Yp E et:m’(p) = m(p)\{ikonsumiert } (wobei für verschiedene Stellen p 
im Vorbereich der Transition verschiedene ikonsumiert von der Transition 
konsumiert werden können). Für ixonsumiert Muss gelten ixonsumiert E M(P)- 
und Vp E te: m’(p) = m(p) U {iproduziert } (wobei für verschiedene Stellen 
p im Nachbereich verschiedene i,-oauziert Von der Transition produziert wer- 


den können). 
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Dabei gilt weiterhin: 

iii) TWC) 

e Für eine Stelle p im Nachbereich der Transition und für das für diese Stelle 
produzierte produziert Ib Sal ITP(p) + ©: Cliyroanzen) = EL. = 
ITP(p) A ROO(iproauziere) = ROOT (it) 

Sonst im Standardfall, wenn durch Transition und Nachbereich nicht anders 
definiert (beispielsweise weil Informationen zum Informationsobjekt i hinzu- 
‚gefügt oder entfernt werden und dadurch vom Standardfall abgewichen 
wird): 

lioroasier) > Clikonsmtere) AROON eer eE ROO CE amen) 


Die neue Bedingung Yp € ®t A vr € {r|(r,t) € RT}: 3a, € ROP(p,m):a; < ROR(r) 
drückt die neue Forderung aus. Für jede Stelle p im Vorbereich der Transition muss 
für jede Ressource r der Transition gelten, dass sie ein Element innerhalb der Menge 
ROP(p, m) besitzt, welches eine Teilmenge von ROR(r) ist. Dadurch wird sicherge- 
stellt, dass die Ressource eine berechtigende Rollenkombination besitzt. Verletzt nur 
eine zugewiesene Ressource diese Bedingung, darf die Transaktion nicht auf das Ele- 
ment zugreifen und somit nicht schalten. Zudem wurde die Schaltregel erweitert, um 
zu definieren, welche Rollenkombination Zugriff auf das neue Informationsobjekt 


iproduziert haben soll. 


5.2 Datenschutz 


Im vorangegangenen Teilkapitel Informationsvertraulichkeit wurden alle Informati- 
onen unabhängig von ihrer Art betrachtet. So wurde beispielsweise auch der Schutz 
von Geschäfts- beziehungsweise Betriebsgeheimnissen (zum Beispiel geheimes Pro- 
duktionsrezept/-verfahren) ermöglicht. Im nun folgenden Teilkapitel ist hingegen 
„nur“ der Datenschutz von Interesse, im Fokus stehen also Informationen, welche 


Aussagen zu natürlichen Personen treffen. 
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Grundsätzlich gibt es vor und während der Verarbeitung von personenbezogenen Da- 
ten gesetzliche Rahmenbedingungen zu beachten. Abbildung 12 gibt einen verein- 


fachten Überblick dazu. 


Im Datenschutz gilt das Prinzip „Verbot mit Erlaubnisvorbehalt“. Da die Verarbeitung 
personenbezogener Daten aufgrund des Datenschutzrechtes grundsätzlich verboten 
ist*, muss, wenn es einen Anlass zur Verarbeitung personenbezogener Daten gibt, ge- 
prüft werden, ob ein Erlaubnistatbestand vorliegt, welcher die beabsichtigte Daten- 
verarbeitung erlaubt. Die EU-Datenschutz-Grundverordnung listet in Artikel 6 die 
Erlaubnistatbestände auf. Ein solcher Erlaubnistatbestand kann beispielsweise auf- 
grund eines Gesetzes bestehen. Die Einwilligung ist, abgesehen vom öffentlichen Be- 
reich der staatlichen Datenverarbeitung, der „wichtigste“ Erlaubnistatbestand 
(Körner, 2000, S. 141). Die praktische Bedeutung der Einwilligung hat seitdem nicht 
abgenommen, somit ist die Einwilligung nach Inkrafttreten der neuen europäischen 
Datenschutz-Grundverordnung der „zentrale“ Erlaubnistatbestand (Buchner & Küh- 
ling, 2017, S. 544). Der Gesetzgeber hat einige Bedingungen - wie beispielsweise die 


Informiertheit - an eine wirksame Einwilligung aufgestellt. 


Die Verarbeitung personenbezogener Daten aus besonderen Kategorien (zum Bei- 
spiel ethnische Herkunft, religiöse oder weltanschauliche Überzeugung, genetische 
Daten) ist nach Artikel 9 Absatz 1 verboten. Absatz 2 regelt hier gesondert die Erlaub- 
nistatbestände. Auch für Daten dieser Kategorie ist die Einwilligung des Betroffenen 


als Erlaubnistatbestand geregelt. 


Liegt eine Legitimation vor, Kann die Datenerhebung erfolgen. Die erhobenen Daten 
können danach verarbeitet werden, solange die Legitimation nicht beispielsweise 


durch Widerruf der Einwilligung weggefallen ist. 


4 Dieses Verbot ist insbesondere immer dann gegeben, wenn der sachliche Anwendungsbereich der EU- 
DS-GVO eröffnet ist. Eine Ausnahme davon ist beispielsweise die Verarbeitung von personenbezogenen 
Daten „zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ (Artikel 2, Absatz 2, lit. c, 
EU-DS-GVO). Weitere Überlegungen zur Anwendbarkeit der EU-DS-GVO finden sich beispielsweise bei 
Kieck & Pohl (Kieck & Pohl, 2017). 
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informierte Einwilligung 
O ee =$ | > -m 
Legitimation liegt 


Datenerhebung verarbeitungsbdreite Daten Verarbeitung 
(in Grenzen der Legitimation) 


Anlass zur Daterlverarbeitung BER 
für bestimmte Zwecke vor 


 _ 


anderer Erlaubnistatbestand 
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> rn 
RI 

Löschung der Daten 


keine Einwilligung & 


Legitimation fällt irte Dat 
kein anderer Erlaubnistatbestand a Raa Weg gesperrte Daten 


(z. B. durch Widerruf) (aufgrund Wunsch / Pflicht) 


keine (weitere) Datenverarbeitung 


Abbildung 12: vereinfachte Darstellung ausgewählter Rahmenbedingungen an die Verarbeitung perso- 
nenbezogener Daten 


Danach dürfen die Daten nicht weiterverarbeitet werden und sind ggf. auch zu lö- 
schen. Ist von Beginn an kein Erlaubnistatbestand erfüllt, darf keine Datenverarbei- 


tung erfolgen. 


5.2.1 Zweckbindung 


Die Zweckbindungist einer der von der europäischen Datenschutz-Grundverordnung 
geforderten Grundsätze (Artikel 5, Absatz 1, lit. b). Personenbezogene Daten dürfen 
also nur für zuvor legitimierte Zwecke erhoben und zu diesen verarbeitet werden. 
Der erlaubte Zweck beziehungsweise die erlaubten Zwecke ergeben sich aus dem Er- 
laubnistatbestand - oft also aus der Einwilligungserklärung oder dem Vertrag, für 
den die Verarbeitung erforderlich ist. Es gibt eine Ausnahme von der Zweckbindung 
für „eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für 
wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke“ 


(Artikel 5, Absatz 1, lit. b) der Daten. 


Zur Betrachtung der Zweckbindung innerhalb der Geschäftsprozessmodellierung 


werden Informationen um die erlaubten Verarbeitungszwecke angereichert. 
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Definition 5.10: 

Zweckbindungs-Netz 

Ein Zweckbindungs-Netz ist ein Tupel PLN = 
(ETF IRITE Z, LG, LA LD, LN FD CED Y mit 


P als eine endliche Menge von Stellen, 

T als eine endliche Menge von Transitionen, 

PAT = 0, 

F S (P xT) U (T x P) als eine Flussrelation, 

I als eine Menge von Informationsobjekten, 

IT als eine Menge von Informationsobjekttypen, 

ITPS ({IT U Ø} x P) als eine Allokation von jeweils keinem oder einem Infor- 
mationsobjekttypen zu einer Stelle, 

Z als eine endliche Menge von Zwecken, 

L:I x M > {P(Z)} als die Menge der unter einer Markierung mit einer Infor- 
mation verknüpften (das heifst erlaubten) Zwecke, 

G:P XT > {P(Z)} als die Menge der mit einer Eingangskante zur Transition 
t aus der Stelle p im Vorbereich der Transition verbundenen Zwecke, 

LA:P x T > {P(Z)} als die Menge der mit einer Ausgangskante der Transi- 
tion t zur Stelle p im Nachbereich der Transition verbundenen Zwecke zur Er- 
‚gänzung von L{i), also der Zwecke des produzierten Informationsobjektes, 
LD:P xT > {P(Z)} als die Menge der mit einer Ausgangskante der Transi- 
tion t zur Stelle p im Nachbereich der Transition verbundenen Zwecke zur Re- 
duktion von L(i), also der Zwecke des produzierten Informationsobjektes, 
LN:P XT > {P(Z)} als die Menge der mit einer Ausgangskante der Transi- 
tion t zur Stelle p im Nachbereich der Transition verbundenen Zwecke für 
L(i), also der Zwecke des produzierten Informationsobjektes. Diese Menge er- 
setzt die bisherige Zwecke-Menge. Daher gilt auch LN + Ø => LA = Ø A LD = 
Ø, 

PD:I > {true, false} als eine Funktion, die angibt, ob es sich bei der Infor- 
mation i um ein personenbezogenes Datum handelt oder nicht, und 

CPD:T x P > {Ø, true, false}, das angibt, ob ein produziertes Informa- 
tionsobjekt personenbezogene Daten enthält (true) oder keine personenbezo- 
genen Daten enthält (false). 


112 


5.2 Datenschutz 


Anders als bei der Vertrauenswürdigkeit beim Informationsvertraulichkeits-Netz 
werden die Zwecke beim Zweckbindungs-Netz nicht mit der Transition, sondern mit 
den eingehenden Kanten verknüpft. Dies wird je Kante durch G(p, t) beschrieben. 
Dadurch wird einerseits ermöglicht, je Stelle im Vorbereich einer Transition anzuge- 
ben, zu welchen Zwecken die Information von der Transition benötigt wird. Somit 
kann andererseits auch abgebildet werden, dass eine Transition verschiedene Infor- 
mationen aus verschiedenen Stellen zu unterschiedlichen Zwecken benötigt. Gleich- 
zeitig soll so verdeutlich werden, dass die damit verknüpfte Bedingung nicht 
unbedingt von allen Marken (d. h. Informationsobjekten) in einer Stelle des Vorbe- 
reichs erfüllt werden muss, sondern ausschließlich von den Marken, die für einen 
Schaltvorgang von der Transition konsumiert werden. Die formalisierte Schaltregel 


lautet: 


Definition 5.11: 

Markierung eines Zweckbindungs-Netzes 

Eine Markierung m eines Zweckbindungs-Netzes PLN ist eine Funktion 

m: P > P(I), welche jeder Stelle p € P Informationsobjekte i zuordnet. Dabei 
kann einer Stelle unter einer Markierung m kein, ein oder mehrere Informations- 
objekt(e) i zugeordnet werden. 

Es gilt weiter: Die Menge M ist die Menge der Markierungen. 


Aus Transitionen ausgehende Kanten können durch die Menge LN beschriftet wer- 
den. In diesem Fall wird die Zweckbindung des produzierten Informationsobjektes 
auf die Menge LN gesetzt. Ist keine Menge LN angegeben, kann die Zweckbindung 
aufgrund der eingehenden Informationsobjekte und der Kantenbeschriftungen LA 
und LD bestimmt werden. Dann soll die Zweckbindung der eingehenden Information 
des gleichen Typs übernommen werden und um LA ergänzt beziehungsweise um LD 


reduziert werden. 


Die Zweckbindung eines Informationsobjektes wird zunächst bei der Feststellung des 


Erlaubnistatbestandes festgelegt, also beispielsweise beim Erteilen der Einwilligung. 
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Bestimmte Transitionen, die solche Erlaubnistatbestände feststellen, dürfen also er- 
laubte Zwecke zu einem Informationsobjekt hinzufügen. L(i) bekommt durch diese 
Transitionen neue Elemente hinzugefügt. Andere Transitionen sind dafür verant- 
wortlich, den Wegfall eines Erlaubnistatbestandes (beispielsweise den Widerruf der 
Einwilligung) umzusetzen, und entfernen dementsprechend Zwecke aus der Menge 
L{i). Normale Transitionen haben dagegen keine Auswirkungen auf die Menge L(i), 
es sei denn, dass sie den Personenbezug aus den Daten entfernen (PD(i) wird dann 


false). 


Zusätzlich kann „CPD = true“ (das heißt, es handelt sich um ein personenbezogenes 
Datum) beziehungsweise „CPD = false“ (das heißt, es handelt sich um kein personen- 
bezogenes Datum) mit ausgehenden Kanten einer Transition verknüpft werden. 
Dadurch wird das Attribut PD des durch die Transition produzierten Informations- 
objektes i auftrue beziehungsweise false gesetzt und somit angegeben, ob das produ- 
zierte Informationsobjekt personenbezogene Daten enthält oder nicht. Wenn CPD 
nicht als Kanteninschrift angegeben, das heißt CPD = Ø ist, bleibt diese Eigenschaft 


wenn möglich unverändert (siehe Schaltregel). 


114 


5.2 Datenschutz 


Definition 5.12: 
Schaltregel mit Berücksichtigung der Zweckbindung im Ablauf 
e In einem Zweckbindungs-Netz PLN = PLN = 
(P,T,F,I,IT,ITP,Z,L,G,LA,LD,LN,PD,CPD) ist eine Transition t € T ge- 
nau dann unter einer Markierung m: P > P(I) aktiviert, wenn für alle p Ee t 
gilt 
m(p) # ® und 
Ser EmA CE E EB) VIE) Salse) 
e Eine aktivierte Transition kann schalten. 
e Wenn eine Transition t € T schaltet, wird die Markierung m: P > P (I) in die 
Markierung m’: P > P(T) überführt. m! lässt sich wie folgt berechnen: 


m = 
m(p)\i” fallsp € et für eini* em(p) AL(i*) E G(p,t) 
m(p)Vi° fallsp Ete für und falls ITP(p) # Ø dann Typ(i°) = IPT(p) 
m(p) sonst 


e L(i°) inm’'ist für den Nachbereich p €E t » der schaltenden Transition t je- 
weils abhängig von der Beschriftung der Kante (t, p): 


LN(t,p) falls LN(t,p) + Ø 
IN) = (uovo ULA(t,p) falls LN(t,p) = Ø A3i*|Typ(i*) = Typ(i°) 
LD(t,p)) U LA(t,p) sonst 


CPD(t,p) CPD(t,p) #® 
PD(i)=* PD(i*) falls CPD(t,p) = ® x3i’|Typ(i*) = Typ(i°) 
false sonst 


wobei Typ: I > IT zu einem Informationsobjekt i den Informationsobjekttyp it 
angibt. 


Abbildung 13 veranschaulicht dies an einem Beispiel: Ein Interessent befindet sich 
auf einer Registrierungswebseite und gibt dort an, ob er den Kontakt entweder per 
E-Mail oder per Telefon für die Information über ein Produkt erlauben möchte. Je 
nach Angabe wird entweder der Zweck Werbemail oder Werbeanruf mit den einge- 
gebenen personenbezogenen Daten verbunden. Danach befindet sich dieses Informa- 
tionsobjekt des Typs „Kundendaten“ in der Stelle „potenzieller Kunde“. In 


Abhängigkeit der Zweckbindung kann anschließend entweder die Transition „Kunde 
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per Mail auf neues Produkt hinweisen“ oder die Transition „Kunde mit Produktwer- 
bung kontaktieren“ schalten. Das Resultat ist in beiden Fällen ein informierter poten- 


zieller Kunde. 


> ern 


Kontakt per Mail erlaubt Kunde per Mail auf neues Produkt hinweisen 


O =o | LA={Werbeanrufe} Werbeanrufe: = |] 


Interessent auf Registrierungswebseite Kontakt per Telefon erlaubt potentieller Kunde Kunde mit Produktwerbung kontaktieren informierter potentieller Kunde 
$ Kundendaten Ñ Kundendaten 


Werbemails 


Abbildung 13: Beispiel für ein Zweckbindungs-Netz 


5.2.2 Datenminimierung 


Der Grundsatz der Datenminimierung (im alten BDSG als Datensparsamkeit bezeich- 
net) bezieht sich ausschließlich auf personenbezogene Daten (Wagner & Raabe, 
2016). Daten, die nicht auf Personen bezogen werden können, müssen folglich nicht 
betrachtet werden. Um den Grundsatz der Datenminimierung betrachten zu können, 
werden die Transitionen mit den benötigten Typen von personenbezogenen Daten 


(wie beispielsweise Vorname, Name, Geburtsdatum) annotiert. 
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Definition 5.13: 

Petri-Netz mit Annotationen zur Analyse der Datenminimierung 

Ein Petri-Netz mit Annotationen zur Analyse der Datenminimierung ist ein Tupel 

DEN = (P,T,F,D,DT) mit 

e P als eine endliche Menge von Stellen, 

e T als eine endliche Menge von Transitionen, 

G JARI S= o, 

e FC(PxT)U(TxP)alseine Flussrelation, 

e D als die Menge der Typen von personenbezogenen Daten und 

e DT:T > P(D) als die Menge der für die Ausführung einer Transition benö- 
tigten Typen von personenbezogenen Daten. 


Die Annotation ermöglicht es, bei der späteren Analyse der Netze Aussagen zu be- 
stimmten Aspekten der Datenminimierung zu treffen. Dabei ist zu beachten, dass 
zwar aus der Nichtverwendung auf die Nichterforderlichkeit einer Information ge- 
schlossen werden kann, aber dass andererseits die Verwendung nur ein Indiz für die 
Erforderlichkeit des Informationsobjektes ist. Die verantwortliche Stelle ist angehal- 
ten, „Gestaltungsmöglichkeiten der Verarbeitung unter Verzicht auf personenbezo- 
gene Daten zu prüfen“ (Raabe & Wagner, 2016). Eine Datenverarbeitung ist für einen 
bestimmten Zweck erforderlich, wenn der Zweck „sonst nicht, nicht vollständig oder 
nicht in rechtmäßiger Weise“ (Jandt, 2017) erreicht werden kann. Es ist also zu prü- 
fen, ob es eine andere „datenschutzrechtlich weniger eingreifende Verarbeitungs- 
form [...]" gibt (Jandt, 2017). Diese Prüfung ist auf die „konkreten 
Ausgestaltungsaspekte“ zu beziehen (Jandt, 2017), und es muss auch an die Möglich- 
keit der Anonymisierung und Pseudonymisierung gedacht werden (Raabe & Wagner, 
2016). Ein Beispiel ist die Untersuchung einer Blutprobe durch ein Labor im Zuge 
einer Auftragsverarbeitung. Hier kann, sofern die Abrechnung über den auftragge- 
benden Arzt erfolgt, die Blutprobe nur zusammen mit einem Pseudonym an das Labor 


weitergegeben werden. Das Labor muss beispielsweise den Vor- und Nachnamen des 


117 


5  Informationsvertraulichkeits- und Datenschutz-Netze 


Patienten zur Untersuchung nicht kennen. Es genügt, wenn der Arzt das Pseudonym 


danach wieder dem Patienten zuordnen kann. 


Eine Verarbeitung muss also geeignet und erforderlich (mildestes Mittel) zur Errei- 
chung eines bestimmten Zweckes sein. Zudem muss aber insbesondere im Falle einer 
Datenschutz-Folgeabschätzung auch die Verhältnismäßigkeit beachtet werden. Dazu 
muss die Datenverarbeitung beziehungsweise die Schwere ihres Eingriffs in die Per- 
sönlichkeitsrechte der Betroffenen in Beziehung zu dem mit ihr verfolgten Zweck ge- 
setzt werden (Jandt, 2017). „Je umfassender und intensiver die Datenverarbeitung ist, 


desto höherrangiger muss der Zweck einzuordnen sein.“ (Jandt, 2017) 


5.3 Informationsvertraulichkeits- und 
Datenschutz-Netz 


In vielen Anwendungsfällen ist es sinnvoll, neben Datenschutz auch Informationsver- 
traulichkeit zu betrachten. Dies ergibt sich beispielsweise daraus, dass die Sicherstel- 
lung der Informationsvertraulichkeit je nach ihrer Ausprägung beziehungsweise 
ihrem Zielobjekt eine Maßnahme für den Datenschutz sein kann. Daher wird das In- 
formationsvertraulichkeits-Netz aus Definition 5.6 in Abschnitt 5.1.2 mit dem Zweck- 
bindungs-Netz aus Definition 5.10 in Abschnitt 5.2.1 und dem Netz mit annotierten 
Datenbedürfnissen aus Definition 5.13 in Abschnitt 5.2.2 kombiniert. Es ergibt sich 


das Informationsvertraulichkeits- und Datenschutz-Netz. 
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Definition 5.14: 

Informationsvertraulichkeits- und Datenschutz-Netz 

Ein Informationsvertraulichkeits- und Datenschutz-Netz istein TupelICPN = 

(ETF R LIT RT ITF; CT. TW, RO, ROO, ROOT, ROR, Z, L,G, LA, LD, LN, FD, 

CPD,D,DT) mit 

e P als eine endliche Menge von Stellen, 

e T als eine endliche Menge von Transitionen, 

o JARMI S 

e FCE(PXxT)U(TxP)alseine Flussrelation, 

e R als eine endliche Menge von Ressourcen, 

e Ials eine Menge von Informationsobjekten, 

e ITals eine Menge von Informationsobjekttypen, 

e RTE(P(R)XT) als eine Allokation von Ressourcen zu Transitionen, 

e ITPGE ({IT U Ø} x P) als eine Allokation von jeweils keinem oder einem Infor- 
mationsobjekttypen zu einer Stelle, 

e C:I > Nals die Informationsvertraulichkeit der Information, 

e CT:IT > Nals die Informationsvertraulichkeit des Informationsobjekttyps, 

e TW:R > Nals die Vertrauenswürdigkeit einer Ressource r, 

e RO als eine endliche Menge von Rollen, 

e ROO:I > P(P(RO)) als die Menge der Mengen der zugriffsberechtigten Rol- 
len zur Information, 

e ROOT: IT > P(P(RO)) als die Menge der Mengen der zugriffsberechtigten 
Rollen zum Informationsobjekttyp, 

e ROR:R > P(RO) als die Menge der Mengen der Rollen, welche als Berechti- 
‚gung der Ressource zugeordnet sind, 

e Z als eine endliche Menge von Zwecken, 

e L:IXM > {P(Z)} als die Menge der unter einer Markierung mit einer Infor- 
mation verknüpften (das heifst erlaubten) Zwecke, 

e G:PxT > {P(Z)} als die Menge der mit einer Eingangskante zur Transition 
t aus der Stelle p im Vorbereich der Transition verbundenen Zwecke, 

e LA:PxT- {P(Z)} als die Menge der mit einer Ausgangskante der Transi- 
tion t zur Stelle p im Nachbereich der Transition verbundenen Zwecke zur Er- 
‚gänzung von L(i), also der Zwecke des produzierten Informationsobjektes, 
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e LD:PxT > {P(Z)} als die Menge der mit einer Ausgangskante der Transi- 
tion t zur Stelle p im Nachbereich der Transition verbundenen Zwecke zur Re- 
duktion von L(i), also der Zwecke des produzierten Informationsobjektes, 

e LN:PxT- {P(Z)} als die Menge der mit einer Ausgangskante der Transi- 
tion t zur Stelle p im Nachbereich der Transition verbundenen Zwecke für 
L{i), also der Zwecke des produzierten Informationsobjektes. Diese Menge er- 
setzt die bisherige Zwecke-Menge. Daher gilt auch LN + Ø > LA = Ø A LD = 
Ø, 

e PD:I > {true, false} als eine Funktion, die angibt, ob es sich bei der Infor- 
mation i um ein personenbezogenes Datum handelt oder nicht, 

e CPD:T x P > {Ö,true, false} das angibt, ob ein produziertes Informations- 
objekt personenbezogene Daten enthält (true) oder keine personenbezogenen 
Daten enthält (false), 

e D als die Menge der Typen von personenbezogenen Daten und 

e DT:T > P(D) als die Menge der für die Ausführung einer Transition benö- 
tigten Typen von personenbezogenen Daten. 


Es ergibt sich folgende Definition 5.15 für die Markierung eines solchen Informati- 


onsvertraulichkeits- und Datenschutz-Netzes (aufbauend auf Definition 5.11): 


Definition 5.15: 

Markierung eines Informationsvertraulichkeits- und Datenschutz-Netzes 

Eine Markierung m eines Informationsvertraulichkeits- und Datenschutz- 
Netzes ICPN = (P,T,F,R,I,IT,RT,ITP,C,CT,TW,RO,ROO, ROOT, ROR,Z,L,G, 
LA,LD,LN,PD,CPD,D,DT) ist eine Funktion m: P > P(I), welche unter der Mar- 
kierung m jeder Stelle p € P Informationsobjektei € I zuordnet. Dabei können 
einer Stelle keine Informationsobjekte, ein Informationsobjekt oder auch mehrere 
Informationsobjekte zugeordnet werden. 

Es gilt weiter: Die Menge M ist die Menge der Markierungen. 
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Die Schaltregel ergibt sich aus den Schaltregeln aus Definition 5.9 und Definition 5.12. 
Die neue Schaltregel in Definition 5.16 berücksichtigt sowohl die Informationsver- 
traulichkeit als auch die Zweckbindung im Ablauf, das bedeutet, dass beide Eigen- 
schaften gleichzeitig gewährleistet werden. Die bekannten Schaltregeln von Petri- 
Netzen (wie sie in Kapitel 4.3.1 beschrieben sind) werden erweitert, was zu zusätzli- 
chen Schaltbedingungen führt. Das heißt, damit eine Transition aktiviert ist und feu- 
ern kann, müssen zusätzliche Bedingungen erfüllt werden. Diese betreffen einerseits 
die Ablaufvertraulichkeit (die Regeln der klassen- und rollenbasierten Informations- 
vertraulichkeit müssen eingehalten werden) und die Zweckbindung (Transitionen, 
die zu einer Verletzung der Zweckbindung führen würden, dürfen nicht schalten). Die 
produzierten Informationsobjekte (d.h. die Marken) betreffen eine andere Art der 
Erweiterung und definieren die Informationsvertraulichkeit und die Zweckbindung 


der Marken. 
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Definition 5.16: 

Schaltregel mit Berücksichtigung der Zweckbindung und Informationsvertrau- 
lichkeit im Ablauf 

Wenn C (p, m) die Informationsvertraulichkeit einer Stelle p € P unter einer Mar- 
kierung m € M und TW (t) die Vertrauenswürdigkeit einer Transitiont € T 
sind, dann können die Bedingungen der Schaltregel für eine aktivierte Transition 
t erweitert werden, und es ergibt sich folgende Schaltregel: 


In einem Informationsvertraulichkeits- und Datenschutz-Netz ICPN = 
(PEER DIT RTTP CCT TW. RO ROO ROOT ROR, Z LG LA LD EN. 
PD, CPD, D, DT) ist eine Transition t € T genau dann unter einer Markierung 
m:P > P(I) aktiviert, wenn 

VpeEet: m(p) + ø, 

Vp Eet:: C(p,m) <TW(t), 

vp Eet: Ait:iHemp)A(LÜ)=E GM t) V PD) = false), 

Vp Ete: vitet®: Cit) < TW (t) und 

vp E Þet AVr Ef{r|(r,t) € RT}:3a; € ROP(p,m):a; < ROR(r) (a; ist 
eine Menge) 


Eine aktivierte Transition kann schalten. 


Wenn eine Transition t € T schaltet, wird die Markierung m in die Markie- 
rung m! überführt. m! lässt sich wie folgt ableiten: 
Vpe «tut- :mp)=mb) 
undVp € et:m’(p) = m(p)\fironsumiert} (wobei für verschiedene 
Stellen p im Vorbereich der Transition verschiedene iyonsumiert Von der 
Transition konsumiert werden können). Für igonsumiert Muss gelten 
ikonsumiert € MP) A L(ikonsumiert) E EP, t): 
undVp E te :m’(p))m(p) U {iproduziert } (wobei für verschiedene 
Stellen p im Nachbereich verschiedene iyroauziert Von der Transition pro- 
duziert werden können). Falls ITP(p) + Ø dann Tale) — 
IPT (p). 
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Es gilt weiterhin: 

e Viproauziere: C(I) < TW (t) 

e Für eine Stelle p in Nachbereich der Transition und für das für diese Stelle 
produzierte iproduziert gilt, falls ITP (p) # Ø: Gl iaronn) = Ar), = 
ITP (p) A ROO(iproauziert) = ROOT (it) 
Sonst im Standardfall, wenn durch Transition und Nachbereich nicht anders 
definiert (beispielsweise weil Informationen zum Informationsobjekt i hinzu- 
gefügt oder entfernt werden und dadurch vom Standardfall abgewichen 
wird): 
ee) = C (ikonsumiert) A ROO oaae) = ROO EAE) 

e  L(i°) in mʻist für den Nachbereich p € t® der schaltenden Transition t je- 


weils abhängig von der Beschriftung der Kante (t, p): 


LN(t,p) falls LN(t,p) # ® 
I = Inu p)) ULA(t,p) falls LN(t,p) = Ø A3i*|Typ(i*) = Typ(i°) 
LD(t,p)) U LA(t,p) sonst 


CPD(t,p)  CPD(t,p) # © 
oo BE NE) Eee AE a E = 
false sonst 
wobei Typ: I > IT zu einem Informationsobjekt i den Informationsobjekttyp it 
angibt. 
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Analyseverfahren für 
Informationsvertraulichkeits- 
und Datenschutz-Netze 


Informationsvertraulichkeits- und Datenschutz-Netze dienen dazu, Anforderungen 
der Informationsvertraulichkeit und des Datenschutzes an Geschäftsprozesse und die 
beteiligten Ressourcen formal zu beschreiben. Die dazu notwendige Formalisierung 
und Spracherweiterung wurde im vorangehenden Kapitel beschrieben. Dieses Kapi- 
tel widmet sich der Frage, welche Auswirkungen die Beachtung der Anforderungen 
auf die Geschäftsprozesse sowie ihre Ausführung haben. Um zuvor spezifizierte Mo- 
delle hinsichtlich ihrer Eigenschaften zu untersuchen, gibt es verschiedene Möglich- 
keiten. Schuster (Schuster, 2012, S. 14) teilt diese in fünf Kategorien ein: 1) 
„Diskussion von Modellen (Kreativitätstechniken, etwa die Metaplan-Methode, auch 
Workshops)“, 2) „Vergleichende Untersuchungen (zum Beispiel Benchmarking, Refe- 
renzanalyse, Checklistentechniken)“, 3) „Validierung der Modelle gegenüber festge- 
legten Metriken“, 4) „Analytische Untersuchung der Modellstruktur“ und 5) 
„simulation der Modelle“. In diesem Kapitel werden für Informationsvertraulich- 
keits- und Datenschutz-Netze vor allem Methoden nach 3), 4) und 5) der obigen Ein- 
teilung vorgestellt und dazu auf ihre Teilmenge Informationsvertraulichkeits- und 
Datenschutz-Netze, welche zusätzlich die Workflow-Bedingungen erfüllen, einge- 
schränkt. Für Geschäftsprozesse ist diese Einschränkung sinnvoll und eröffnet wei- 
tere Analysemöglichkeiten, weil für Workflow-Netze mehr Verfahren zur Verfügung 


stehen und übertragen werden können. 
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6.1 Fragestellungen 


Folgende Fragestellungen sollen durch die Verfahren betrachtet werden: 


1. Wie wirken sich die Anforderungen der Informationsvertraulichkeit und 
des Datenschutzes auf die Geschäftsprozesse aus, das heißt beispielsweise 
auf deren Ausführbarkeit? 

2. Welche Vertrauenswürdigkeit müssen Ressourcen mindestens besitzen, um 
wie vorgesehen an einem bestimmten Prozess mitzuwirken? Im Fall der 
rollenbasierten Informationsvertraulichkeit ist die minimale Rollenkombi- 
nation gesucht. Dies muss jedoch nicht die Menge mit der kleinsten Anzahl 
an Elementen sein. Gesucht ist vielmehr die „unkritischste“ Menge, bezogen 
auf die weiteren Möglichkeiten im Hinblick auf die Rollen. 

3. Welche Daten werden im Rahmen der Ausführung eines Prozesses verar- 
beitet (Indikator für Datenminimierung)? 

4. Sofern es zur Erreichung eines Ziels mehrere Alternativen gibt (mehrere 
Modelle oder ein Modell mit alternativen Pfaden): Welches ist der daten- 
sparsamste Weg (Pfad)? 


5. Für welche Zwecke wird ein Datum verarbeitet? 


6.2 Simulation 


Nach Hedtstück (Hedtstück, 2013, S. 16) ist unter Simulation die experimentelle Un- 
tersuchung eines Modells „mit dem Ziel, neue Erkenntnisse über das System zu ge- 
winnen und daraus Handlungsanweisungen abzuleiten“ zu verstehen. Experimentell 
bedeutet bei der Simulation von Geschäftsprozessen mithilfe von Geschäftsprozess- 
modellen, dass weder tatsächliche Geschäftsobjekte verarbeitet noch Leistungsver- 
pflichtungen eingegangen oder erfüllt werden. Schuster (Schuster, 2012) bezeichnet 
dies in seiner nachfolgenden Definition des Begriffs Simulation als „virtuelle Ausfüh- 


rung“: 
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Definition 6.1: 

Simulation 

„Simulation ist eine Methode, um das Verhalten von Systemen zu untersuchen 
und vorherzusagen. Simulation beinhaltet die virtuelle Ausführung von Modellen 
(Simulationsmodellen), die das zu untersuchende System beschreiben. Zur Bewer- 
tung des Verhaltens wird das System virtuell über eine definierte Zeitspanne unter 
Zuhilfenahme von Eingabeparametern ausgeführt. Während der Simulation wer- 
den zu untersuchende Parameter und ausführungsrelevante Informationen auf- 
‚gezeichnet, diese Daten bilden das Simulationsergebnis.“ (Schuster, 2012, S. 15) 


Werden Geschäftsprozesse mit Petri-Netzen modelliert, so besteht eine Simulation 
aus virtuellen Schaltvorgängen. Da Zustandsänderungen in Petri-Netzen zu diskreten 
(also unterscheidbaren) Zeitpunkten erfolgen, ist für diese Arbeit die Simulation dis- 
kreter Prozesse relevant. Da aber auch bei der realen Durchführung eines mittels ei- 
nes Informationsvertraulichkeits- und Datenschutz-Netzes modellierten 
Geschäftsprozesses die Schaltvorgänge zu diskreten Zeitpunkten stattfinden, ist diese 
Simulationsbedingung ohne Beschränkung der Allgemeinheit anzunehmen. Im Sinne 
der Definition ist die Anfangsmarkierung m, der Eingabeparameter. Ausgehend von 
einer Anfangsmarkierung findet dann ein Schaltvorgang beziehungsweise finden 
dann mehrere Schaltvorgänge statt. Anders ausgedrückt schaltet zunächst eine akti- 
vierte Transition, eventuell schalten danach weitere dann aktivierte Transitionen. Als 
Teil des Simulationsergebnisses können sowohl die Schaltreihenfolge als auch die 
sich nach den jeweiligen Schaltungen ergebenden Markierungen festgehalten wer- 
den. Ist das Simulationsergebnis aufgrund der Eingabeparameter nicht vom Zufall ab- 
hängig, das heißt eindeutig festgelegt, spricht man von einer deterministischen 
Simulation (Hedtstück, 2013, S. 10). Dies beinhaltet auch, dass die Schaltreihenfolge 
aufgrund der Anfangsmarkierung m, eindeutig feststeht. Dies ist dann der Fall, wenn 
immer nur eine Transition gleichzeitig aktiviert ist und somit schalten kann. Abbil- 
dung 14 zeigt vier Zustände eines Petri-Netzes N = (P,T, F) mit der Menge an Stellen 


P = {1,2,3,4}, der Menge an Transitionen T = {a,b,c} und der Flussrelation F = 
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{(1, a), (a, 2), (2,b),(b,3),(3,c)(c,4)}. Zeile 1 der Abbildung zeigt das Petri-Netz mit 
der Anfangsmarkierung, formal beschrieben mit der Funktion m,(p) := 1 für p = 


1,0 sonst. Nur die Transition a ist aktiviert und kann schalten. Schaltet a, so wird my 


a 
in m, überführt. Dies lässt sich auch als m, > m, schreiben. Der entsprechende Fol- 


gezustand ist in der zweiten Zeile der Abbildung dargestellt. Es folgen weitere Schal- 


b 
tungen: m, > m, Â m. Die letzte Zeile der Abbildung stellt m, dar: m;(p) := 


1 für p = 4,0 sonst. 


1 2 3 

m ©>La PO>Leb PO>L: PO 

1 2 3 

m O>La POLbe POL: PO 
1 2 3 


4 
c 

4 
c 

4 
m OL POL POl: PO 


1 4 


n OT a a eO 


Abbildung 14: Beispiel für eine deterministische Simulation 


Steht das Simulationsergebnis, also insbesondere auch die Schaltfolge der Transitio- 
nen, aufgrund der Eingabeparameter nicht eindeutig fest und hängt vom Zufall ab, so 
spricht man von einer stochastischen (das heißt nicht deterministischen) Simulation 
(Hedtstück, 2013, S. 10). Dies ist beispielsweise dann der Fall, wenn bei einer Markie- 
rung m’ mehrere Transitionen schalten können. Ein Beispiel dafür sind nebenläufige 
Transitionen. Abbildung 15 zeigt sechs Zustände von zwei möglichen Schaltfolgen ei- 
nes Petri-Netzes N = (P,T, F) mit der Menge an Stellen P = {1, 2, 3,4, 5,6}, der Menge 
an Transitionen T = {a,b,c,d} und der Flussrelation F= 
{(1, a), (a, 2), (a, 3), (2, b), (3, c), (b, 4), (c, 5), (4, d), 5, d), (d, 6)}. Die erste Zeile der 


Abbildung zeigt das Petri-Netz mit der Anfangsmarkierung, ausgedrückt mit der 
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Funktion mo(p) = 1 für p = 1,0 sonst. Nur die Transition a ist aktiviert und kann 
schalten. Schaltet a, so wird m, in m, überführt. Nun sind die Transitionen b und c 
aktiviert. Es ist nicht bestimmt, welche Transition zuerst schalten wird, da sie unab- 
hängig voneinander sind (Zimmer, 2001, S. 17). Entweder b schaltet und überführt 
m, in m, oder c schaltet zuerst und überführt m, in m»; die Reihenfolge wird also 
zufällig festlegt (Zimmer, 2001, S. 17). Mit dem nächsten Zustandsübergang durch 
Schalten von c oder b wird der Zustand m, erreicht. Danach ist die weitere Ausfüh- 


rung deterministisch. Es sind dementsprechend die beiden folgenden Schaltfolgen 


a b c d a c b 
möglich: 1) m, > mı > M, > m; > m, beziehungsweise 2) Mmo > mı > Max > Mz 


d 
om. 

Solche nicht deterministischen Simulationen können beispielsweise auch entstehen, 
wenn ein Geschäftsprozessmodell alternative Pfade durch ein exklusives „Oder“ ent- 
hält. Sind mehrere Transitionen zur gleichen Zeit aktiviert, und gibt es keine weiteren 
Bestimmungen, die festlegen, welche Transition als Nächstes schaltet, hängt es vom 
Zufall ab, welche Transition zuerst schaltet. Es kann festgelegt werden, dass die 
Schaltwahrscheinlichkeit für jede Transition gleich ist. Es ist aber auch möglich, an- 
dere Wahrscheinlichkeiten festzulegen. In jedem Fall zeigt sich jedoch auch eine 
Schwäche der Simulation: Mit einem Simulationslauf kann nur eine mögliche Schalt- 
folge untersucht werden, und es ist zunächst nicht bekannt, wie viele Simulations- 
durchläufe benötigt werden, um alle möglichen Simulationsergebnisse festzustellen, 


sofern die Menge der möglichen Simulationsergebnisse überhaupt endlich ist. 
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2 4 


1 O> 
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> 


Abbildung 15: Beispiel einer stochastischen Simulation mit zwei möglichen Simulationsergebnissen 
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Auch wenn diese Herausforderung nicht spezifisch für Informationsvertraulichkeits- 
und Datenschutz-Netze ist, so ist es dennoch notwendig, für diese eine geeignete Si- 
mulationsstrategie zu wählen. Eine Möglichkeit, diese zu finden, ist der Markierungs- 
graph (auch Erreichbarkeitsgraph genannt). Der Markierungsgraph zu einem Petri- 
Netz N = (P,T,F) ist abhängig von der Anfangsmarkierung mọ. Die Knoten des Mar- 
kierungsgraphen sind die von m, mit einer beziehungsweise mehreren Schaltungen 
(Schritten) erreichbaren Markierungen. Die Kanten repräsentieren diese Schritte 
(Reisig, 2010, S. 31). Gibt es eine Schaltung, die den Zustandsübergang von einer Mar- 
kierung zu einer anderen ermöglicht, so wird zwischen den Markierungen eine ent- 
sprechend gerichtete Kante gezogen und mit dem Namen der schaltenden Transition 


beschriftet. 


m, 


(1,0,0,0,0,0) 


a 


1 
(0,1,1,0,0,0) 


m. 
(0,1,0,0,1,0) 


(0,0,0,0,0,1) 


Abbildung 16: Markierungsgraph zum Petri-Netz aus Abbildung 15 mit Anfangsmarkierung mo 
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Reisig (Reisig, 2010, S. 32) stellt fest: „Prinzipiell eignet sich der Markierungsgraph 
eines Systemnetzes als Ausgangspunkt für seine (rechnergestützte) Analyse, sofern 
nur endlich viele Markierungen erreichbar sind.“ Falls also nur endlich viele Markie- 
rungen erreichbar sind, ist der Markierungsgraph ein geeignetes Hilfsmittel für eine 
zu Informationsvertraulichkeits- und Datenschutz-Netzen passende Simulationsstra- 
tegie. Wie bei Desel u. a. (Desel, Oberweis, Zimmer & Zimmermann, 1997) wird nach- 
folgend ein Konzept der Testentwicklung für Software auf die 
Simulationsentwicklung für Geschäftsprozesse übertragen. Konkret wird die Simula- 
tionsstrategie mithilfe des Markierungsgraphen analog zu Teststrategien für Glass- 
Box-Tests für Software mithilfe des Kontrollflussgraphen festgelegt. Dabei gibt es die 
folgenden Überdeckungen bei dem kontrollflussorientierten Softwaretest (Zhu, Hall 


& May, 1997): 


e _Knotenüberdeckung: Jeder Knoten des Kontrollflussgraphen muss für eine 
vollständige Knotenüberdeckung mindestens einmal besucht worden sein. 

e _Kantenüberdeckung: Jede Kante des Kontrollflussgraphen muss für eine 
vollständige Kantenüberdeckung mindestens einmal genutzt worden sein. 
Kantenüberdeckung schließt Knotenüberdeckung mit ein. 

e  Pfadüberdeckung: Jeder mögliche Pfad vom Startknoten zum Endknoten 
muss für eine vollständige Kantenüberdeckung mindestens einmal genutzt 
worden sein. Pfadüberdeckung schließt Kanten- und Knotenüberdeckung 


mit ein. 


Für die Simulation von Informationsvertraulichkeits- und Datenschutz-Netzen ist zu- 
nächst festzulegen, ob durch die Simulationsläufe alle möglichen Markierungen min- 
destens einmal erreicht werden müssen (Knotenüberdeckung) oder ob mindestens 
das stärkere Kriterium der Kantenüberdeckung (das heißt, jede Kante muss 1 x ge- 
nutzt worden sein) im Markierungsgraph zu fordern ist. Da die Kanten im Markie- 
rungsgraphen die Transitionen des zugrunde liegenden 


Informationsvertraulichkeits- und Datenschutz-Netzes repräsentieren und diese für 
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die einzelnen Kenntnisnahmen und Verarbeitungsschritte stehen, wird für die Simu- 


lation von Informationsvertraulichkeits- und Datenschutz-Netzen Kantenüberde- 


ckung gefordert. 


Es ist auch möglich, dass die Menge der möglichen Simulationsergebnisse unendlich 
ist, obwohl der Markierungsgraph endlich ist. Dies ist beispielsweise dann der Fall, 
wenn es im Geschäftsprozessmodell eine oder mehrere Transitionen gibt, die auf- 
grund einer Schleife beliebig oft ausgeführt werden können, aber wieder zu den glei- 


chen Markierungen führen. 


m, 
(0,1,0,0) 
b 


3 
(0,0,0,1) 


Abbildung 17: Beispiel für ein Petri-Netz mit Anfangsmarkierung mo, endlichem Markierungsgraphen 
und unendlicher Menge an möglichen Simulationsergebnissen 
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Abbildung 17 verdeutlicht dies. Oben ist ein Petri-Netz mit einer Anfangsmarkierung 
m, zu sehen, unten der zugehörige Markierungsgraph. Mit mindestens drei Schaltun- 


gen kann der Endzustand m; (eine Marke in der 4. Stelle) erreicht werden: m, $ mı 


b d a 
> m, > m;. Ein alternativer Pfad, um den Endzustand m, zu erreichen, ist mo > mı 


b è b d 
>m, > mı >m, > Mm;. Dabei lässt sich das Schalten von c, b unendlich oft wieder- 


holen; dies verdeutlicht die eckige Klammer mit dem hochgestellten Stern in der 
nachfolgenden Schaltfolge: mo > m, 3 m; > mı $ m| > mz. 

In Informationsvertraulichkeits- und Datenschutz-Netzen ist dies auch möglich. Die 
Frage ist, ob es ausreichend ist, hier weiterhin nur Kantenüberdeckung zu fordern. 
Da dadurch alle Transitionen des Informationsvertraulichkeits- und Datenschutz- 
Netzes geschaltet haben und alle Kanten genutzt wurden (weil alle Markierungen er- 
reicht wurden), kann bereits eine gute Analyseaussage getroffen werden. Die stär- 
kere Forderung der Pfadüberdeckung lässt sich wegen der unendlichen Anzahl an 
möglichen Pfaden nicht umsetzen und verspricht keinen deutlichen Mehrwert für In- 


formationsvertraulichkeits- und Datenschutz-Netze. Am Beispiel des Netzes aus Ab- 


a b d 
bildung 17 bedeutet dies, dass nach dem Simulationslauf m, > m, >m, >m; zwar 


die Knotenüberdeckung im Markierungsgraph erreicht ist, aber noch keine Kanten- 


überdeckung. Daher muss ein erneuter Simulationslauf ausgeführt werden: my 


a b c b d 
>m, > m, > m, >m, > M;. Damit ist auch die Kantenüberdeckung erreicht. Es 


können nun sowohl Aussagen zu allen Markierungen (jede wurde mindestens einmal 
erreicht) als auch zu allen Transitionen (jede hat mindestens einmal geschaltet) ge- 


troffen werden. Die nicht deterministische Simulation hätte beispielsweise auch m, 


a b € b d a b c b È b € 
>m, >? m, > m, >m, >m; oder M > m, > M, > Mı >? M, > Mı > M, > Mı 


b d 
> m, > m, als ersten Lauf durchführen können und wäre dann aufgrund der erreich- 


ten Kantenüberdeckung beendet. Eine Pfadüberdeckung kann in diesem Beispiel gar 


nicht erreicht werden, weil die Anzahl an Pfaden in dem Beispiel unendlich ist. 
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Pfadüberdeckung wird aus den genannten Gründen nicht für die Simulation von In- 
formationsvertraulichkeits- und Datenschutz-Netzen gefordert. Stattdessen wird 


Kantenüberdeckung (diese schließt Knotenüberdeckung ein) gefordert. 


Eine andere Problematik entsteht, wenn die unendliche Menge an Simulationsergeb- 
nissen aufgrund eines unendlichen Markierungsgraphen entsteht. Dieses Problem ist 
als State Explosion Problem (Valmari, 1998) bekannt. Abbildung 18 zeigt ein entspre- 


chendes Petri-Netz mit Anfangsmarkierung mo. 


m, 
s _ n, bb) m id, 
(1,0,0,0) (1,1,0,0) (1,0,1,0) c 
a a a 
4 A4 v 
m, m, m, d- 
(0,1,0,0) (0,2,0,0) (0,1,1,0) c 
X 
b c b b e 
y KA KA 
m, me b. Mo 
(0,0,1,0) (0,1,1,0) c (0,0,2,0) c 
X 
d d d a 
m, m, b M, d. 
(0,0,0,1) (0,1,0,1) (0,0,1,1) c 


Abbildung 18: Petri-Netz mit Anfangsmarkierung mo mit resultierendem unendlichem Markierungsgra- 
phen, ausschnittsweise dargestellt 


a b d 
Das Netz kann beispielsweise mit der Schaltfolge m, > m, > m, > m; terminieren; 


es sind abhängig von den schaltenden Transitionen jedoch auch unendlich viele wei- 


135 


6 Simulations- und Analyseverfahren für Informationsvertraulichkeits- und Datenschutz-Netze 


tere Markierungen möglich. Sowohl der Markierungsgraph als dadurch auch die mög- 
liche Menge der Simulationsergebnisse ist unendlich. Daher ist es nicht möglich, mit 


einer endlichen Anzahl an Simulationsläufen Kantenüberdeckung zu erreichen. 


6.3 ICPN-Sim 


Aufbauend auf den beschriebenen Simulationsverfahren und Simulationsstrategien 
für Workflow-Netze wird nachfolgend das Simulationsverfahren für Informations- 
vertraulichkeits- und Datenschutz-Netze ICPN-Sim beschrieben, wobei die Ein- 
schränkungen der Workflow-Eigenschaften gelten. Das Verfahren besteht aus den 


folgenden Schritten: 


1. Bildung des Markierungsgraphen des zugrunde liegenden Workflow-Netzes 
bezüglich der festgelegten Anfangsmarkierung. Dabei werden die im Infor- 
mations- und Datenschutz-Workflow-Netz zusätzlich vorhandenen Restrik- 
tionen (wie beispielsweise strengere Schaltbedingungen) nicht 
berücksichtigt. 

2. Simulation des Informations- und Datenschutz-Workflow-Netzes mit der 
Anfangsmarkierung. Dabei wird, sofern er endlich ist, der Markierungs- 
graph verwendet, und es wird eine Kantenüberdeckung angestrebt. Für je- 
den Simulationslauf gilt: 

a. Protokollieren des simulierten Informations- und Datenschutz- 
Workflow-Systems (das heißt Informations- und Datenschutz- 
Workflow und Anfangsmarkierung) 

b. Feststellen der aktivierten Transitionen 

i. Istgenau eine Transition aktiviert, so wird diese Transi- 
tion geschaltet und der Schaltvorgang entsprechend proto- 
kolliert. 

ii. Ist mehr als eine Transition aktiv (das heißt, es dürfen 
mehrere Transitionen schalten), wird die Transition aus- 


gewählt, die ausgehend von dieser Markierung noch nicht 
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geschaltet hat. Sind dies mehrere Transitionen, wird unter 
diesen eine zufällig ausgewählt und die Notwendigkeit ei- 
nes weiteren Simulationslaufs mit Besuch dieses Zustands 
(beispielsweise durch Wiederholen der bisherigen Schal- 
tungen) vermerkt. 
Die ausgewählte Transition wird geschaltet und der Schalt- 
vorgang wird protokolliert. 
iii. Sind keine Transitionen aktiv, ist dieser Simulationslauf 

beendet. Der Endzustand wird protokolliert. 

c. Solange der Simulationslauf nicht beendet wurde, b wiederholen; 

sonst weiter zu d. 

d. Schlusszustand des Simulationslaufs protokollieren. 

3. Überprüfung, welche Kanten bei den bisherigen Simulationsläufen nicht ge- 
nutzt wurden. Die ungenutzten Kanten könnten aufgrund der Eigenschaften 
der Informationsobjekte nicht genutzt worden sein, weil die zugehörige 
Transition nicht aktiv war. Es ist zu überprüfen, ob sich in einem weiteren 
Simulationslauf im Rahmen des modellierten Prozesses und der Anfangs- 
markierung die Eigenschaften so wählen lassen, dass die Kante genutzt 
werden kann beziehungsweise die zugehörigen Transitionen schalten kön- 
nen. Hierzu kommen nur Eigenschaften infrage, die erst zur Laufzeit dyna- 


misch festgelegt werden (beispielsweise eine Kundeneingabe). 


Die Vorgehensweise zur Simulation wird in Abbildung 19 zusammengefasst. Durch 
das folgende Unterkapitel werden die Aktivitäten zur Protokollierung näher spezifi- 


ziert. 
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Netz mit Anfangsmarkierung Bildung des Markierungsgraphen Markierungsgraph Protokollieren des Netzes und der Anfangsmarkierung Bereit für Simulationslauf Simulation starten 
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Transition zufällig auswählen Transition ausgewählt weiteren Simulationslauf vorsehen 
>= 2 Transitionen 


kein weiterer Simulationslauf geplant Prüfen, ob alle Kanten ifn Markierungsgaphen gekennzeichnet sind nein Prüfen, ob anderp Parametrisierung genutzt werden kann 
T 


Simulation beendet 


Abbildung 19: Darstellung des Simulationsablaufes 


6.4 Simulationsprotokoll ICPN-Trace 


Die Analysemöglichkeiten eines oder mehrerer Simulationsläufe werden entschei- 
dend von dem währenddessen erzeugten Simulationsprotokoll beeinflusst. Während 
der Simulation werden die Ereignisse aufgezeichnet und abgespeichert, wodurch 
später eine vielfältige Analyse möglich ist (Gruhn & Haack, 1995). Für Informations- 
vertraulichkeits- und Datenschutz-Netze soll während einer Simulation daher festge- 


halten werden: 


Zunächst enthält das Protokoll alle Informationen, um das simulierte System (Infor- 
mationsvertraulichkeits- und Datenschutz-Netz) eindeutig zu beschreiben. Dazu 


werden protokolliert: 
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e _Informationsvertraulichkeits- und Datenschutz-Netz (wie simuliert): Da 
sich ein Informationsvertraulichkeits- und Datenschutz-Netz als Modell ei- 
nes Geschäftsprozesses im Rahmen des Geschäftsprozessmanagements ver- 
ändern kann (in der Phase Prozessdesign des Business Process 
Management Lifecycle (de Morais, Kazan, Pádua & Costa, 2014)), ist es not- 
wendig, entweder die Version im Protokoll eindeutig zu identifizieren oder 
das gesamte Informationsvertraulichkeits- und Datenschutz-Netz in das 
Protokoll aufzunehmen. Hierzu bietet sich der XML-Dialekt Petri-Net- 
Markup-Language (PNML) an (vgl. ISO/IEC 15090-2, 2011). Der Standard 
lässt Freiheitsgrade zu, um in sogenannten Tool-Specific-Tags für Informa- 
tionsvertraulichkeits- und Datenschutz-Netze spezifische Informationen ab- 
zubilden. 

e  Anfangsmarkierung: Die Belegung der Stellen des Informationsvertraulich- 
keits- und Datenschutz-Netzes durch Marken ist festzuhalten. Jede Marke 
erhält dafür eine eindeutige Identifikationsnummer (ID). Die IDs der An- 
fangsmarkierung werden als ganzzahlig, beginnend bei 1 aufsteigend, ver- 
geben. Da für die Analyse der Informationsvertraulichkeits- und 
Datenschutz-Netze die Workflow-Eigenschaften gefordert werden, gibt es 
nur eine Marke in der Anfangsmarkierung. In jedem Fall ist je Marke auch 
festzuhalten, ob die initiale Marke personenbezogene Daten enthält (CPD = 
wahr) oder nicht (CPD = falsch), und für welche Zwecke eine Verarbei- 


tung gestattet ist. 


Für jeden Schritt - das heißt das Schalten einer Transition bei der Simulation eines 
Informationsvertraulichkeits- und Datenschutz-Netzes - sind die nachfolgenden In- 


formationen für eine spätere Analyse des Simulationsergebnisses festzuhalten. 


e Aktivierte Transitionen: Welche Transitionen des Informationsvertraulich- 
keits- und Datenschutz-Netzes sind aktiviert, das heißt können schalten? 


e  Schaltende Transition: Festgehalten wird, welche Transition schaltet. 
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o Je Eingangskante wird die ID der konsumierten Marke (= des Infor- 
mationsobjekts) festgehalten. Für jede konsumierte Marke wird 
protokolliert: 

= welche Informationsvertraulichkeit mit der Marke ver- 
knüpft ist, 

= welches Mengensystem ROO(i) mit der Marke verknüpft 
ist und somit, welche Mengen den Zugriff auf die Informa- 
tion i gestatten, 

= ob die Marke personenbezogene Informationen enthält 
(CPD = wahr) oder nicht (CPD = falsch) und 

= welche Verarbeitungszwecke L(i) gestattet sind. 

= Je Eingangskante kann auch ein Zweck der Verarbeitung 
festgelegt sein. Daher ist je Eingangskante für die konsu- 
mierte Marke (ID) der Zweck zu protokollieren. Später 
kann solch für ein Informationsobjekt, das heißt eine 
Marke, festgestellt werden, welche Zwecke für den Verar- 
beitungsverlauf benötigt wurden (Einwilligung notwen- 
dig). 

o Außerdem wird protokolliert, welche Ressourcen (verknüpft mit 
der Transition) daran beteiligt sind. Je beteiligter Ressource wird 
zudem die Menge aller Rollen der Ressource ROR(r) festgehalten. 
Da in Informationsvertraulichkeits- und Datenschutz-Netzen die 
Rollenzuweisung an Ressourcen statisch ist, kann dies für alle an 
der gesamten Ausführung beteiligten Rollen an einer Stelle des 
Logs gespeichert werden. Ist die beteiligte Ressource beim Schalten 
der Transition dort bereits gelistet, muss nichts getan werden (die 
Beteiligung der Ressource an der schaltenden Transition wurde be- 
reits festgehalten). Ist die beteiligte Ressource noch nicht gelistet, 


müssen die Rollen der Ressource an der zentralen Stelle ergänzt 
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werden (dass die Ressource am Schaltvorgang beteiligt war, ist be- 
reits festgehalten). 

Oo Zur späteren Analyse der Datenminimierung wird protokolliert, 
welche personenbezogenen Daten benötigt wurden (Menge D(t)). 
Diese Menge ist zwar je Transition in Informationsvertraulichkeits- 
und Datenschutz-Netzen statisch, es vereinfacht jedoch die spätere 
Analyse, wenn die Information während des Simulationsschritts 
unmittelbar protokolliert wird. 

oO Je Ausgangskante werden die produzierten Marken protokolliert. 
Dazu erhält jede Marke eine ID. Wenn eine Transition genau eine 
Eingangskante hat, genau eine Marke konsumiert wurde und die 
Transition genau eine Marke produziert (genau eine Ausgangs- 
kante), wird die ID der Marke beibehalten. 

Werden mehrere Marken konsumiert, wird überprüft, ob ihre IDs 
einen gemeinsamen Beginn haben (beispielsweise 1.1 und 1.2, ge- 
meinsamer Beginn 1). Dabei muss die ID bis auf die letzte Stelle 
(hinter dem letzten Punkt) übereinstimmen. Falls ja, wird über- 
prüft, ob es andere Marken mit dem gemeinsamen Beginn gibt. 
Wenn dies nicht der Fall ist, wird der gemeinsame Beginn (ohne 
den letzten Punkt) zur neuen ID. In allen anderen Fällen wird eine 
neue einmalige ID vergeben. 
Werden mehrere Marken produziert, so wird ihre ID durch Anhän- 
gen eines Punkts und einer je Marke aufsteigenden Nummer (ab 
der Nummer 1) gebildet. 
Die Bildung der IDs ist in Listing 1 wiedergegeben. 
e Die jeweiligen Eigenschaften je produzierter Marke werden festgehalten: 
= Informationsvertraulichkeit der Marke, 
= Mengensystem ROO(i) mit den Mengen, die den Zugriff auf 


die Information i gestatten, 
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= gestattete Zwecke, die aufgrund der eingehenden Marke 
(falls eine Marke mit dem gleichen Typ eingeht) und der 
Inschrift an der Ausgangskante festgelegt beziehungsweise 
verändert werden, 

= Feststellung, ob die Marke personenbezogene Informatio- 
nen enthält (CPD = wahr) oder nicht (CPD = falsch). 
Dies kann entweder unverändert (nur, falls eine Marke mit 
dem gleichen Typ eingeht) oder durch die Ausgangskante 


festgelegt sein. 
Protokollierung des Endzustands: 


e _Schlussmarkierung: Die Belegung der Stellen des Informationsvertraulich- 
keits- und Datenschutz-Netzes durch Marken ist festzuhalten. Je Marke ist 
auch festzuhalten, ob die initiale Marke personenbezogene Daten enthält 
(CPD = wahr) oder nicht (CPD = falsch) und für welche Zwecke eine Ver- 


arbeitung gestattet ist. 


Das Simulationsprotokoll ist in einem geeigneten Format zu speichern. Da die Petri- 
Netze bereits in PNML (ein XML-Derivat) gespeichert werden, wurde für die Speiche- 


rung der Simulationsergebnisse ebenfalls XML als Format festgelegt. 
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public String[] markenIDsAusgang(String[] markenIDsEingang, int anzahlAusgangskanten, 
String[] aktuelleMarkenIDs, int naechsteMarkenID) { 

String stammID = ""; //stammID für Ausgangsmarken 

String[] markenIDsAusgang = new String[anzahlAusgangskanten]; 
int anzahlEingangskanten = markenIDsEingang.length; 


if (anzahlEingangskanten == 1 && anzahlAusgangskanten == 1) { 
//Das Array markenIDsEingang enthält folglich 1 Element und wird weiter verwendet 
markenIDsAusgang = markenIDsEingang; 
return markenIDsAusgang; 


} 


if (anzahlEingangskanten == 1) { 
//Das Array markenIDsEingang enthält folglich 1 Element und wird als Stamm-ID 
verwendet 
stammID = markenIDsEingang[®] ; 
} 


//Mehrere Marken konsumiert 
if (anzahlEingangskanten >= 1) { 
//StammID festlegen 
boolean gemeinsamerBeginn = true; 
String[] markenIDEingang®d = markenIDsEingang[9].split("."); 
for (int i= 1; 
(i <= anzahlEingangskanten && gemeinsamerBeginn); i++) { 
String[] markenIDEingangI = markenIDsEingang[i].split("."); 
if (markenIDEingangd.length == markenIDEingangI.length) { 
for (int k = ð; k <= markenIDEingangd.length - 1; k++) { 
if (markenIDEingangdö[k] != markenIDEingangI[k]) { 
gemeinsamerBeginn = false; 
} 


} 
} else { 


gemeinsamerBeginn = false; 


} 


if (gemeinsamerBeginn) { 
for (int i = 8; i < markenIDEingangd.length - 1; i++) { 
stammID = stammID + "." + markenIDEingange[i]; 


} 
//prüfen ob StammID aktuell in Gebrauch 
for (int i = 8; i < aktuelleMarkenIDs.length; i++) { 
if (aktuelleMarkenIDs[i].startswith(stammID)) { 
stammID = naechsteMarkenID + "."; 
} 


if (anzahlAusgangskanten == 1) { 
markenIDsAusgang[®] = stammID; 
return markenIDsAusgang; 


} 

for (int i = 8; i <= anzahlAusgangskanten; i++) { 
markenIDsAusgang[i] = stammID + "." + (i + 1); 

} 


return markenIDsAusgang; 


Listing 1: Berechnung der Marken-IDs für die ausgehenden Kanten in Java 
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6.5 Auswertung der Simulation 


Um aus einer Simulation Erkenntnisse gewinnen zu können, werden Kennzahlen zu 
wichtigen Eigenschaften des Prozesses erhoben, das heißt aus dem Simulationser- 


gebnis abgeleitet. 


Im Folgenden wird aufgezeigt, wie das Simulationsergebnis die in Kapitel 6.1 gestell- 


ten Fragen beantworten kann. 


Frage 1 betrachtet die Auswirkungen der neuen Informations-vertraulichkeits- und 
Datenschutz-Anforderungen auf die Geschäftsprozesse. Die konkret gestellte Frage 
der Ausführbarkeit kann beantwortet werden, indem die einzelnen Simulationsläufe 
mit dem zuvor erstellten Markierungsgraphen verglichen werden. Ziel ist es, Transi- 
tionen zu finden, die nicht schalten können, das heißt Aktivitäten, die nicht länger 
ausgeführt werden können. Sind diese Aktivitäten identifiziert, kann der Modellie- 
rungsexperte die Ursachen überprüfen und ggf. den Ablauf oder beispielsweise die 


Ressourcenzuweisung anpassen. 


Frage 2 führt dementsprechend zu einer verbesserten Ressourcenallokation, indem 
betrachtet wird, welche Vertrauenswürdigkeit Ressourcen mindestens besitzen müs- 
sen, um an einem Prozess beziehungsweise an einer Aktivität wie vorgesehen mitzu- 
wirken. Schwieriger kann die Ressourcenallokation bei rollenbasierter 
Informationsvertraulichkeit umgesetzt werden. Hier wird die minimale Rollenkom- 
bination, also die Menge an Rollen, die eine Ressource mindestens benötigt, um eine 
Aktivität ausführen zu dürfen, gesucht. Im Rahmen der Simulation und ihrer Auswer- 
tung kann festgestellt werden, welche Rollenkombinationen jeweils hinreichend zur 
Ressourcenallokation wären. Die „minimale“ Rollenkombination muss jedoch nicht 
die Menge mit der kleinsten Anzahl an Elementen sein. Gesucht ist vielmehr die „un- 
kritischste“ Menge, bezogen auf die weiteren Möglichkeiten der Rollen. Das Modell 
und die Simulation können aber nur die Frage beantworten, welche Mengen berech- 
tigt sind. Da - betrachtet man nur ein Modell - nicht klar ist, welche Berechtigungen 


diese Rollen sonst haben, kann nicht geklärt werden, wie kritisch sie sind. Bis alle 
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Modelle eines Unternehmens zur Beantwortung dieser Frage herangezogen werden 
können, muss diese Frage durch den Fachexperten beziehungsweise Modellierer be- 


antwortet werden. 


Die dritte Frage betrifft den Datenschutz. Eine Forderung ist die Datenminimierung. 
Mithilfe des Simulationsprotokolls kann festgestellt werden, welche Daten für die ein- 
zelnen Aktivitäten eines Prozesses benötigt werden; anschließend kann die Datener- 


fassung entsprechend angepasst werden. 


Dies führt zur nächsten Frage: Wenn es mehrere Möglichkeiten gibt, ein Ziel zu errei- 
chen, welcher ist dann der datensparsamste Pfad? Diese Frage kann durch den Ver- 
gleich der verschiedenen Simulationsläufe beantwortet werden. Natürlich gibt es 
noch weitere Kriterien wie beispielsweise Laufzeit und Kosten, um einen Pfad zu be- 
werten. Jedoch kann mithilfe der Informationsvertraulichkeits- und Datenschutz- 


Netze sowie ihrer Simulation das Kriterium der Datensparsamkeit bewertet werden. 


Mithilfe des Simulationsprotokolls kann auch die fünfte Frage beantwortet werden: 
Werden die Daten hinsichtlich ihrer Zweckbindung verarbeitet, oder werden bei- 


spielsweise Einwilligungen für Zwecke eingeholt, die gar nicht benötigt werden? 


Für die Auswertung des Simulationsprotokolls stehen aufgrund seines XML-Formats 
verschiedene Abfragesprachen wie beispielsweise XQuery zur Verfügung (Becher, 


2009). 
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In den vorangegangenen beiden Kapiteln wurde eine Erweiterung für Petri-Netze 
vorgestellt, um eine Modellierung von Aspekten der Informationsvertraulichkeit und 
des Datenschutzes zu ermöglichen. Es wurden auch Verfahren vorgestellt, um die so 
beschriebenen Geschäftsprozesse - teilweise mittels Simulation - analysieren zu kön- 


nen. 


In diesem Kapitel wird eine Methode vorgestellt, welche mithilfe dieser Spracherwei- 
terung und Analysemöglichkeiten eine systematische Betrachtung von Aspekten der 
Informationsvertraulichkeit und des Datenschutzes ermöglicht. Daher wurde der 
Name „PriCcon4BPM-Methode“ gewählt. Er setzt sich aus den folgenden Komponen- 


ten zusammen: 


e Pri für Privacy (Datenschutz) 

e Con für Confidentiality (Vertraulichkeit) 
e 4 für for (für) 

e BPM für Business Process Management 


(Geschäftsprozessmanagement) 


7.1 BPM-LifeCycle-Management 


„Methoden sind die Vorschriften, wie planmäßig [d. h. auch systematisch] nach einem 
bestimmten Prinzip (oder einer Kombination von Prinzipien) zur Erreichung festge- 
legter Ziele vorzugehen ist.“ (Leimeister, 2015, S. 260f.). Nach Brinkkemper (Brinkk- 
emper, 1996) geht es beim ingenieurmäßigen Entwickeln von Methoden darum, neue 
Methoden zu entwerfen beziehungsweise zu konstruieren und vorhandene Metho- 
den anzupassen. Das trifft nicht nur auf Methoden, sondern auch aufihre Komponen- 


ten (also beispielsweise auf Aktivitäten, Sprachen und Techniken) zu. Demgemäß ist 
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es sinnvoll zu prüfen, welche Methoden und welche Komponenten angepasst werden 


können und für welche Herausforderungen ganz neue Lösungen zu entwickeln sind. 


Da sowohl Datenschutz als auch Informationsvertraulichkeit mit der Pricon4BPM- 
Methode innerhalb des Geschäftsprozessmanagements betrachtet werden sollen, ist 
es zunächst sinnvoll zu prüfen, welche Bestandteile existierender Methoden zum Ge- 
schäftsprozessmanagement adaptiert werden können. De Morais u. a. (de Morais, Ka- 
zan, de Pádua & Costa, 2014) haben systematisch verschiedene Darstellungen des 
Lebenszyklus von Geschäftsprozessen betrachtet. Dabei wurden sowohl sechs beglei- 
tende Aktivitäten im Lebenszyklus als auch neun Aktivitäten zur initialen Planung be- 
ziehungsweise späteren Analyse von Geschäftsprozessen identifiziert. Abgeleitet von 


de Morais u. a. (de Morais u. a., 2014) werden hier in Abbildung 20 diese sechs Phasen 


I 
ØP 
G 


Abbildung 20: Lebenszyklusphasen des Geschäftsprozessmanagements 


des Lebenszyklus dargestellt. 
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Dabei fällt auf, dass in keiner der von de Morais u. a. (de Morais u. a., 2014) analysier- 
ten Darstellungen ein Austritt aus dem Zyklus skizziert ist. Einen solchen Austritt aus 
dem Zyklus gibt es in der Praxis durchaus, beispielsweise bei Verlagerung der Ge- 
schäftsaktivität oder Geschäftsaufgabe. Ebenfalls fällt auf, dass in allen grafischen 
Darstellungen ein Kreislauf beschrieben ist, der nach Design und Modellierung die 
Einführung und Nutzung des Prozesses vorsieht. Es gibt weder skizzierte Rück- 


sprünge noch Phasen des Tests. 


Da sowohl Datenschutz als auch Informationsvertraulichkeit nicht nur reine Ge- 
schäftsprozesse im Sinne der Ablauforganisation betreffen, sondern in eine Aufbau- 
organisation eingebettet sind, wurden Informationsvertraulichkeits- und 
Datenschutz-Netze so gestaltet, dass eine eventuell notwendige Beachtung von auf- 
bauorganisatorischen und Datenstrukturaspekten integriert erfolgen kann. Daher 
wird hier auch die Horus-Methode betrachtet, da diese bereits eine integrierte Mo- 
dellierung verschiedener Aspekte vorsieht. Diese gliedert sich in eine Vorbereitungs- 


phase und drei Hauptphasen (Schönthaler, Vossen, Oberweis & Karle, 2012, S. 84 f.): 


e Phase 0: Vorbereitungsphase 
e Phase 1: Strategie- und Architekturphase 
e Phase 2: Geschäftsprozessanalysephase 


e Phase 3: Anwendungsphase 


Die Geschäftsprozessanalyse besteht aus fünf Hauptaktivitäten, in der Horus-Me- 
thode als Verantwortungsbereiche bezeichnet (Schönthaler u. a., 2012, Abbildung 
4.14): 


1. Strukturelle Analyse zur Definition des Objektmodells und der Geschäftsre- 
geln 

2. Ablaufanalyse, entweder auf Basis von Ereignissen oder Anwendungsszena- 
rien 

3. Analyse der Organisationsstruktur zur Ermittlung von Rollen und Verant- 


wortlichkeiten 
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4. Kennzahlenanalyse 


5. Risikoanalyse 


Ausgangs- 
punkt 


Abbildung 21: Ziel und Bestandteile einer Methode 


7.2 Eigene Methode 


Methoden bestehen aus verschiedenen Komponenten (Abbildung 21; vgl. Brinkkem- 
per, 1996; Winter, 2003). Um die Methode PriCon4BPM zu entwickeln, werden daher 


zunächst die einzelnen Komponenten der Methode beschrieben. Hierbei werden ins- 
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besondere Komponenten, die für diese Methode neu entstehen beziehungsweise an- 
gepasst werden müssen, erläutert. Dabei wird zunächst mit den Aktivitäten begon- 


nen, und teilweise werden bereits Techniken aufgezählt: 


e Festlegung des Ziels des Geschäftsprozesses. Diese Aktivität gibt es als Arte- 
fakt „Zielmodell der Phase 1“ auch in der Horus-Methode (Schönthaler u. a., 
2012, Abbildung 4.10) beziehungsweise als Aktivität „Validate Strategic Di- 
rection“ (strategische Ausrichtung überprüfen) bei de Morais u. a. (de Mo- 
rais u. a., 2014). Die später festzulegenden Zwecke der Datenverarbeitung 
sollten nicht im Widerspruch zu dem Ziel stehen. 

e Sammeln der Aktivitäten des Geschäftsprozesses. Dazu können verschie- 
dene Techniken wie beispielsweise Brainwriting (VanGundy, 1984) ver- 
wendet werden, oder auch existierende Prozessbeschreibungen (vom 
bisherigen Prozess bei einem Redesign von Prozessen) oder von Standard- 
modellen für bestimmte Aufgaben herangezogen werden. 

e  Jegesammelter Aktivität: 

o Die notwendigen Informationsobjekttypen zur Ausführung der Ak- 
tivität bestimmen. Dabei sind alle Arten von Informationsobjektty- 
pen - sowohl personenbezogene Daten als auch andere - 
einzubeziehen. 

= JeInformationsobjekttyp prüfen, ob die Informationen be- 
reits vor der Ausführung des Geschäftsprozesses in der Or- 
ganisation vorliegen oder im Rahmen des Prozesses 
erhoben werden müssen. Falls die Informationen noch er- 
hoben werden müssen und dafür noch keine Aktivität vor- 
gesehen ist, ist die Sammlung der Aktivitäten um eine 
entsprechende Aktivität zu ergänzen. 

= Prüfen, ob personenbezogene Daten verarbeitet werden 
sollen und - falls ja - Festlegen des Zwecks der Aktivität 


hinsichtlich der Verarbeitung dieser personenbezogenen 
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Daten. Der Zweck ist später entsprechend an der Eingangs- 

kante der Aktivität zu notieren. 
Prüfen, ob es sich um eine spezielle Aktivität zur Einhaltung daten- 
schutzrechtlicher Notwendigkeiten wie beispielsweise die Einho- 
lung einer zweckbezogenen Erlaubnis zur Verarbeitung von 
personenbezogenen Daten oder die Erledigung des Zwecks der Da- 
tenverarbeitung handelt. Bei diesen Aktivitäten müssen später die 
Ausgangskanten entsprechend beschriftet werden. Das bedeutet: 
Entweder muss eine Menge LA vermerkt werden, um Zwecke hin- 
zuzufügen (beispielsweise wenn eine Erlaubnis für diese Zwecke 
eingeholt wurde), oder es ist eine Menge LD hinzuzufügen, um 
Zwecke zu entfernen (beispielsweise wenn Zwecke durch Zwecker- 
füllung erledigt sind), oder es kann alternativ auch eine Menge LN 
angegeben werden, um für ein Informationsobjekt eine ganz neue 
Menge an erlaubten Verarbeitungszwecken zu definieren. 
Festlegen, welche Ressourcen (intern und/oder extern) an der Ak- 
tivität beteiligt sein sollen. 
Festlegen, ob und - wenn ja - welche Informationsobjekttypen 


durch die Aktivität neu erzeugt werden. 


Je Informationsobjekttyp: Prüfen, ob der Informationsobjekttyp schützens- 
wert ist, und - wenn ja - Festlegen der rollenbasierten Informationsver- 
traulichkeit durch Festlegen der berechtigten Rollenkombinationen - 
soweit eine statische Festlegung möglich ist. 

Ordnen der Aktivitäten zu einem Geschäftsprozess (Ablauforganisation) 
und Erzeugung von Stellen. Dabei ist zu beachten, dass die notwendigen In- 
formationsobjekttypen bereitgestellt werden müssen, die entsprechend mit 
den Eingangsstellen verknüpft sein müssen. Eine Datenstruktur mit fester 
semantischer Logik ist hier für eine präzise Beschreibung des Geschäftspro- 


zesses erforderlich. 


7.2 Eigene Methode 


Je Ressource: Bestimmen der Rollenzugehörigkeit (hinsichtlich der rollen- 
basierten Informationsvertraulichkeit). 
Nach den vorbereitenden Aktivitäten kann das Informationsvertraulich- 
keits- und Datenschutz-Netz erstellt werden. Hierzu müssen die Aktivitäten 
logisch geordnet und ihre Abhängigkeiten berücksichtigt werden. Außer- 
dem sind Stellen zu formulieren, und soweit möglich und notwendig, mit In- 
formationsobjekttypen zu verknüpfen. Zudem müssen bereits vorgemerkte 
Kantenbeschriftungen, beispielsweise bezüglich der Verarbeitungszwecke 
einer Transition, vorgenommen werden. 
Simulation/Analyse (teilweise durch Auswertung des Simulationsergebnis- 
ses) des Geschäftsprozesses hinsichtlich Datenminimierung, Einhaltung der 
Zweckbindung und Gewährleistung der Informationsvertraulichkeit. 
Dadurch sind auch die Kontrollfragen aus Kapitel 3.4.5 zu beantworten: 

o Sind die personenbezogenen Daten erforderlich, um den Zweck zu 

erreichen? 
o Tragen die Daten zur Erreichung des Zweckes bei? 
o Istes möglich, den Verarbeitungszweck ohne die Daten (evtl. mit 


weniger Daten oder mit anonymisierten Daten) zu erreichen? 
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Je Aktivität 


OE OO u 


Ziel festlegen 


Informationsobjekttypen 


Sammeln der Aktivitäten Aktivität beschreiben 


Rollenkonzept 


Ressourcenbedarfe 


Rollenkonzept definieren 


je Ressource je Informationsobjekttyp 


Informationsobjekttypbeschreibung 


—— 6 


a 


Rollen zuweisen / prüfen Ressourcenbeschreibung Informationsobjekttyp präzisieren 
Aktivitäten ordnen Stellen erzeugen ICPN ableiten ICPN 


i 
1 
i 
i Anpassungsbedarf Anpassungen umsetzen 
1 
1 
l 

Simulation Simulationsergebnis Auswertung ICPN bereit zur Einführung 


Abbildung 22: Ausschnitt aus dem Vorgehensmodell der PriCon4BPM-Methode 


Die Abbildung 22 zeigt die Aktivitäten, geordnet als Vorgehensmodell. Dabei bedeu- 
tet ein zusätzlicher Kasten um eine Aktivität (Transition) herum, dass der Kasten für 
mehrere Instanzen, beispielsweise an Ressourcen oder Informationsobjekttypen, 
durchlaufen wird; der Teilprozess wird genau einmal an jeder Kante betreten, für 


n (n > 1) Instanzen ausgeführt und danach genau ein Mal an jeder Kante verlassen. 
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Informationsobjekttyp Prüfen, ob Information vor Prozess verfügbar nicht verfügbar 


u 
‚Aktivität zur Erhebung schon vorhanden i Nicht vorhanden ‚Aktivität in Sammlung aufnehmen 


Fr 


Informationsobjektiypen 
Bedarf Informationsobjektiypen feststellen 


= H 
verfügbar Prüfen, ob personenbfzogene Daten 
© personenbezogene Daten Zweck der Verarbeitung festlegen 


besondere Aktivität Erlaubniseinholung 


Zwecklöschung 


Ressourcenbedarf feststellen Ressourcenbedarfe 


Abbildung 23: Verfeinerung der Aktivität „Aktivität beschreiben“ 


Die Aktivität „Aktivität beschreiben“ istauch entsprechend mit einem Kasten gekenn- 
zeichnet und in Abbildung 23 detaillierter modelliert. Die Modellierung zeigt auch, 
dass zur Definition einer Methode nicht nur die Definition der einzelnen Aktivitäten, 
sondern auch deren Ordnung innerhalb eines Vorgehensmodells und zugleich die Be- 


schreibung der logischen Abhängigkeiten unter den Aktivitäten notwendig ist. 


Betrachtet man die geordneten Aktivitäten, fällt zunächst auf, dass - abweichend vom 
üblichen skizzierten Lebenszyklus eines Geschäftsprozesses zwischen „Design und 
Modellierung“ und „Einführung“ - zunächst zwingend eine Phase „Simulation und 
Auswertung“ notwendig ist und - abhängig von deren Ergebnis - wieder zurück zur 
Analyse gesprungen werden muss. In Abbildung 24 ist die neue Phase „Simulation 


und Auswertung“ blau hervorgehoben und der mögliche Rücksprung orangefarben 
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belegt. Dieses Vorgehen ist nicht prinzipiell neu. Auch wenn es in den von de Morais 
u.a. (de Morais u. a., 2014) analysierten Lebenszyklen in keinem grafisch skizziert ist: 
Es war auch bisher üblich, in irgendeiner Form die Qualität des Geschäftsprozesses 
vor seiner Einführung zu bewerten. In dieser Arbeit wird diese Phase aber dennoch 
besonders hervorgehoben, weil einige Aspekte, wie beispielsweise die Datenmini- 
mierung von personenbezogenen Daten, erst mithilfe dieser Phase betrachtet wer- 


den. 


Zur Pricon4BPM-Methode gehören insbesondere die nachfolgenden Artefakte: 


e Sammlung der Aktivitäten. Hierzu ist keine spezifische Sprache vorgesehen, 
da die Aktivitäten und die zusätzlich dazu gesammelten Informationen (wie 
beispielsweise Zweck) später als Informationsvertraulichkeits- und Daten- 
schutz-Netz formalisiert werden. 

e  Informationsobjekttypen wie Objekttypen und Ressourcen, wie beispiels- 
weise im Horus Business Modeler vorgesehen, sodass eine Verknüpfung mit 
dem Geschäftsprozess möglich ist. 

e Simulationsprotokoll in der Sprache (hier ein XML-Format), wie in Kapitel 
6.4 spezifiziert. 

e Simulations- und Analyseauswertung hinsichtlich Einhaltung von Informa- 
tionsvertraulichkeit, Zweckbindung und Datenminimierung. 

e Modell des Prozesses in der definierten Sprache des Informationsvertrau- 


lichkeits- und Datenschutz-Netzes, wie in Kapitel 5.3 spezifiziert. 
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Abbildung 24: angepasster Lebenszyklus des Geschäftsprozessmanagements 


Insbesondere die beiden geschaffenen Sprachen Informationsvertraulichkeits- und 
Datenschutz-Netze (ICPN, Kapitel 5.3) und ICPN-Trace (Kapitel 6.4) präzisieren die 
Anwendung der gesamten Methode und sind somit wesentlicher Bestandteil von 
PriCon4BPM. Durch die damit vorgegebene Syntax und Semantik wird das gemein- 
same Verständnis der entsprechenden Artefakte wesentlich gefördert. Damit wird 
die Anwendbarkeit der Pricon4BPM-Methode unterstützt. Ihr fehlt jedoch noch eine 
vollständige Werkzeugunterstützung. Hierzu kommt später die Integration in den 
Horus Business Modeler in Betracht. Entweder muss das Werkzeug die Methode voll- 


ständig unterstützen, oder es muss andere Dienste integrieren beziehungsweise mit 
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ihnen kompatibel sein, um eine vollständige Unterstützung zu ermöglichen. Hierzu 
bietet sich die Verwendung von Microservices wie bei Alpers u. a. (Alpers, Becker, 
Oberweis & Schuster, 2015) an. Um hierfür ein Simulationswerkzeug bereitzustellen, 
wurde eine Java-basierte Webserviceschnittstelle für das in Prolog entwickelte 
PASIPP-Werkzeug (Oberweis, Seib & Lausen, 1991) geschaffen!. Es gibt also unter- 
schiedliche Strategien, später eine Werkzeugunterstützung für PriCcon4BPM bereit- 


zustellen. 


7.3  Anwendungsbeispiel 


Die Pricon4BPM-Methode wird nachfolgend durch ein Anwendungsbeispiel weiter 
beschrieben. Als Beispiel dient der Bestell- und Bezahlprozess, den ein Neukunde für 
ein Produkt ausführt. Das Produkt ist in diesem Beispiel ein für den Kunden individu- 
ell bedrucktes Kleidungsstück. Zunächst gilt es, das Ziel des Geschäftsprozesses fest- 
zulegen: die Auslieferung des Artikels an den Kunden und die Bezahlung des 
Kaufpreises durch denselben. Anschließend sind die Aktivitäten zu sammeln. Für das 
Anwendungsbeispiel gehen wir davon aus, dass das Produkt bereits in einem 
Webshop ausgesucht wurde und verzichten auf die Modellierung von Ausnahmen 
(Fehler bei der Bezahlung etc.). Beim Sammeln der Aktivitäten kommt es noch nicht 
auf deren Reihenfolge an. Zu einigen Aktivitäten wurden Detailaktivitäten (zur Ver- 
feinerung) gesammelt, für andere Aktivitäten wurde an dieser Stelle bewusst darauf 


verzichtet (die Verfeinerung soll hier nicht betrachtet werden). 


e Erzeugen eines neuen leeren Designs 

e Hochladen der Druckdaten (Bilddateien) 
e  Anordnen der Druckdaten 

e Speichern und Freigeben des Designs 


e Einwilligung zur Speicherung und Verarbeitung der Druckdaten 


1 Masterarbeit von Fabian Stolz am Karlsruher Institut für Technologie: „Integration von Prolog-Modulen 
in eine Microservice-Architektur“ (2018). Betreut von Sascha Alpers und Andreas Oberweis. 
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e Eingabe von Größe und Stückzahl 


e Anlegen eines Kundenkontos 


(0) 


(0) 


(0) 


(0) 


(0) 


E-Mail-Adresse eingeben 
Bestätigungs-E-Mail zusenden 
Bestätigungs-E-Mail-Link klicken 
Konto eröffnen und Passwort vergeben 


Vorname, Name, Geburtsdatum und Postadresse eintragen 


e Bezahlen per SEPA-Lastschrift 


e Bezahlen per Rechnung 


(0) 


(0) 


Bonitätsprüfung 


Rechnungsversand 


e  Generieren der Druckdateien 


e Überprüfung des Motivs bezüglich Unternehmensrichtlinien des Herstellers 


e Bedrucken des Textils 


e Versand des Textils 


Anschließend werden je Aktivität weitere Informationen gesammelt beziehungs- 


weise festgelegt. Dazu wird ein entsprechendes Formular verwendet, welches nun 


zunächst vorgestellt wird: 


Aktivität 


Name der Aktivität 


notwendige Informationsobjekttypen Hier werden alle Informationsob- 


jekttypen aufgelistet, welche für die 
Aktivität notwendig sind. Dabei bedeu- 
tet „-“, dass keine Informationsob- 
jekttypen zur Durchführung der 
Aktivität notwendig sind. 


erzeugte Informationsobjekttypen Hier werden alle Informationsob- 


jekttypen aufgelistet, welche durch die 
Aktivität erzeugt werden. Dabei bedeu- 
tet „-“, dass keine Informationsob- 
jekttypen erzeugt werden. 
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falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


Das Zeichen „-“ bedeutet hier, dass 
keine Informationsobjekttypen mit 
personenbezogenen Daten verwendet 
werden. Sonst werden hier je Infor- 
mationsobjekttyp der Zweck bzw. die 
Zwecke der Verarbeitung gelistet. Hi- 
erzu wird zunächst der Information- 
sobjekttyp genannt, hinter einem 
Doppelpunkt folgt dann die 
Zweckangabe. 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Einige Aktivitäten erfüllen bestimmte 
Aufgaben hinsichtlich des 
Datenschutzes. Hierzu gehören Ak- 
tivitäten, durch welche die betroffene 
Person eine Einwilligung in einen bes- 
timmten Verarbeitungszweck erteilt 
(bzw. diese Einwilligung widerruft). 
Ein anderes Beispiel ist die Schaffung 
eines Vertrages, für welchen die Ver- 
arbeitung erforderlich ist. „Nein“ 
bedeutet, dass es sich um keine solche 
Aktivität handelt. Bei „Ja“ erfolgt 
jeweils eine kurze Konkretisierung. 


beteiligte Ressourcen 


Hier werden die an der Aktivität be- 
teiligten Ressourcen (Menschen und 
Systeme) aufgelistet. 


Nachfolgend für die Aktivitäten des Anwendungsbeispiels die detaillierten und struk- 


turierten Beschreibungen: 
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Aktivität 
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Erzeugen eines neuen leeren Designs 


notwendige Informationsobjekttypen 


erzeugte Informationsobjekttypen 


e Design 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e Designserver (Web) 


Aktivität 


Hochladen der Druckdaten 


notwendige Informationsobjekttypen 


e Design 
e Kundendatensatz 


erzeugte Informationsobjekttypen 


e Design-Bilddatei 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e Kundendatensatz: Vertragserfüllung 
e Design: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- Nein 
tivität (beispielsweise Einwilligung, 

Widerruf) 

beteiligte Ressourcen e Kunde 


e Designserver (Web) 
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Aktivität 


Anordnen der Druckdaten 


notwendige Informationsobjekte 


e Design 
e Kundendatensatz 
e Design-Bilddatei 


erzeugte Informationsobjekttypen 
falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e Design-Bilddatei: Gestaltung 
e Kundendatensatz: Vertragserfüllung 
e Design: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- Nein 
tivität (beispielsweise Einwilligung, 

Widerruf) 

beteiligte Ressourcen e Kunde 


e Designserver (Web) 


Aktivität 


Speichern und Freigeben des 
Designs 


notwendige Informationsobjekte 


e Design 
e Kundendatensatz 
e Design-Bilddatei 


erzeugte Informationsobjekttypen 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e Design-Bilddatei: Gestaltung 
e Kundendatensatz: Vertragserfüllung 
e Design: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- Nein 
tivität (beispielsweise Einwilligung, 

Widerruf) 

beteiligte Ressourcen e Kunde 


e Designserver (Web) 
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Aktivität Eingabe von Größe und Stückzahl 
notwendige Informationsobjekttypen e Kundendatensatz 

e Design 

e Design-Bilddatei 
erzeugte Informationsobjekttypen Bestellung 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e Kundendatensatz: Vertragserfüllung 
e Design-Bilddatei: Gestaltung 
e Design: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- Nein 
tivität (beispielsweise Einwilligung, 

Widerruf) 

beteiligte Ressourcen e Kunde 


e CRM-Server 


Aktivität 


E-Mail-Adresse eingeben 


notwendige Informationsobjekttypen 


erzeugte Informationsobjekttypen 
falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e E-Mail-Adresse 


spezielle datenschutzrechtliche Ak- 


Ja, Erlaubnistatbestand 


tivität (beispielsweise Einwilligung, Vertragserfüllung 
Widerruf) 
beteiligte Ressourcen e Kunde 


e CRM-Server 
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Aktivität 


Bestätigungs-E-Mail zusenden 


notwendige Informationsobjekte 


e E-Mail-Adresse 


erzeugte Informationsobjekttypen 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e E-Mail-Adresse: Vertragserfüllung 
(inkl. vorvertragliche Maßnahmen) 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e CRM-Server 


Aktivität 


Bestätigungs-E-Mail-Link klicken 


notwendige Informationsobjekttypen 


e E-Mail-Adresse 


erzeugte Informationsobjekttypen 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e E-Mail-Adresse: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e CRM-Server 
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Aktivität 


7.3 Anwendungsbeispiel 


Konto eröffnen und Passwort vergeben 


notwendige Informationsobjekttypen 


e E-Mail-Adresse 


erzeugte Informationsobjekttypen 


e Kundendatensatz 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e E-Mail-Adresse: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Ja, Erlaubnistatbestand 
Vertragserfüllung 


beteiligte Ressourcen 


e CRM-Server 


Aktivität 


Vorname, Name, Geburtsdatum und 
Postadresse eingeben 


notwendige Informationsobjekttypen 


e Kundendatensatz 


erzeugte Informationsobjekttypen 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e Kundendatensatz: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e CRM-Server 
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Aktivität 


Bezahlen per SEPA-Lastschrift 


notwendige Informationsobjekttypen 


e Bestellung 
e Kundendatensatz 


erzeugte Informationsobjekttypen 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e Bestellung: Vertragserfüllung 
e Kundendatensatz: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e CRM-Server 
e SEPA-Einzugsdienstleister 


Aktivität 


Kundenwunsch „Bezahlen per Rech- 
nung“ 


notwendige Informationsobjekttypen 


e Bestellung 
e Kundendatensatz 


erzeugte Informationsobjekttypen 
falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 

spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 

beteiligte Ressourcen 


e Bestellung: Vertragserfüllung 
e Kundendatensatz: Vertragserfüllung 


Ja, in Bonitätsprüfung einwilligen 


e CRM-Server 
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Aktivität 
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Bonitätsprüfung 


notwendige Informationsobjekttypen 


e Bestellung 
e Kundendatensatz 


erzeugte Informationsobjekttypen 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieses 
Informationsobjekttypen 


e Bestellung: Bonitätsprüfung 
e Kundendatensatz: Bonitätsprüfung 


spezielle Datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e CRM-Server 
e Dienstleister Bonitätsprüfung 


Aktivität 


Rechnungsversand 


notwendige Informationsobjekttypen 


e Bestellung 
e Kundendatensatz 


erzeugte Informationsobjekttypen 
falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieses 
Informationsobjekttypen 


e Bestellung: Bonitätsprüfung 
e Kundendatensatz: Bonitätsprüfung 


spezielle Datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e CRM-Server 
« Forderungssystem 
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Aktivität 


Generieren der Druckdaten 


notwendige Informationsobjekttypen 


erzeugte Informationsobjekttypen 


e Bestellung 

e Kundendatensatz 

e Design 

e Design-Bilddatei 

e Schnittmuster Textil 
e Druckdaten 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e Bestellung: Vertragserfüllung 

e Kundendatensatz: Vertragserfüllung 
e Design: Gestaltung 

e Design-Bilddatei: Gestaltung 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e Designserver (Web) 


Aktivität 


Überprüfung des Motivs bezüglich Un- 
ternehmensrichtlinien des Herstellers 


notwendige Informationsobjekttypen 


e Design-Bilddatei 
e Unternehmensrichtlinien des 
Herstellers 


erzeugte Informationsobjekttypen 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieses 
Informationsobjekttypen 


e Design-Bilddatei: Motivprüfung 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e CRM-Server 
e Motivprüfer 
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Aktivität 
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Bedrucken des Textils 


notwendige Informationsobjekttypen 


e Druckdaten 
e Bestellung 


erzeugte Informationsobjekttypen 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


Druckdaten: Vertragserfüllung 
Bestellung: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


Nein 


beteiligte Ressourcen 


e Produktionsserver 
e Produktionsmitarbeiter 
e Druckmaschine 


Aktivität 


Versand des Textils 


notwendige Informationsobjekttypen 


e Kundendatensatz 
e Bestellung 


erzeugte Informationsobjekttypen 
falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieses 
Informationsobjekttypen 

spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 

beteiligte Ressourcen 


e Bestellung: Vertragserfüllung 
e Kundendatensatz: Vertragserfüllung 


Nein 


e CRM-Server 
e Versandmitarbeiter 


e Versanddienstleister 
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Je Informationsobjekttyp werden anschließend für die spätere Modellierung weitere 


Informationen strukturiert erfasst. 


rung des Geschäftsprozesses vorliegen: Gibt es 
eine Aktivität, um diese zu sammeln? (Falls nein: 
Aktivität hinzufügen und danach Wert auf „ja“ set- 
zen.) 


Informationsobjekttyp Design 
Liegen die Informationen bereits vor Ausführung | Nein 
des Geschäftsprozesses vor? 

Falls die Informationen nicht bereits vor Ausfüh- Ja 


Sind personenbezogene Daten enthalten? 
(Ggf. Begründung zur späteren Nachvoll- 
ziehbarkeit ergänzen.) 


Ja (das Design ist über die 
Bestellung während der 
Bearbeitung mit dem 


Sinne von Betriebs- und Geschäftsgeheimnissen? 


Besteller verknüpft) 
Ist der Informationsobjekttyp schützenswert im Nein 
Sinne von Betriebs- und Geschäftsgeheimnissen? 
Informationsobjekttyp Kundendatensatz 
Liegen die Informationen bereits vor Ausführung | Nein 
des Geschäftsprozesses vor? 
Falls die Informationen nicht bereits vor Ausfüh- Ja 
rung des Geschäftsprozesses vorliegen: Gibt es 
eine Aktivität, um diese zu sammeln? (Falls nein: 
Aktivität hinzufügen und danach Wert auf „ja“ set- 
zen.) 
Sind personenbezogene Daten enthalten? Ja 
(Ggf. Begründung zur späteren Nachvoll- 
ziehbarkeit ergänzen.) 
Ist der Informationsobjekttyp schützenswert im Nein 
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Informationsobjekttyp 
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Design-Bilddatei 


Liegen die Informationen bereits vor Ausführung 
des Geschäftsprozesses vor? 


Nein 


Falls die Informationen nicht bereits vor Ausfüh- 
rung des Geschäftsprozesses vorliegen: Gibt es 
eine Aktivität, um diese zu sammeln? (Falls nein: 
Aktivität hinzufügen und danach Wert auf „ja“ set- 
zen.) 


Ja 


Sind personenbezogene Daten enthalten? 

(Ggf. Begründung zur späteren Nachvoll- 
ziehbarkeit ergänzen.) 

Ist der Informationsobjekttyp schützenswert im 
Sinne von Betriebs- und Geschäftsgeheimnissen? 


Nein 


Informationsobjekttyp 
Liegen die Informationen bereits vor Ausführung 
des Geschäftsprozesses vor? 


E-Mail-Adresse 
Nein 


Falls die Informationen nicht bereits vor Ausfüh- 
rung des Geschäftsprozesses vorliegen: Gibt es 
eine Aktivität, um diese zu sammeln? (Falls nein: 
Aktivität hinzufügen und danach Wert auf „ja“ set- 
zen.) 


Ja 


Sind personenbezogene Daten enthalten? 
(Ggf. Begründung zur späteren Nachvoll- 
ziehbarkeit ergänzen.) 


Ist der Informationsobjekttyp schützenswert im 
Sinne von Betriebs- und Geschäftsgeheimnissen? 


Nein 
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Sinne von Betriebs- und Geschäftsgeheimnissen? 


Informationsobjekttyp Bestellung 
Liegen die Informationen bereits vor Ausführung | Nein 
des Geschäftsprozesses vor? 

Falls die Informationen nicht bereits vor Ausfüh- Ja 
rung des Geschäftsprozesses vorliegen: Gibt es 

eine Aktivität, um diese zu sammeln? (Falls nein: 
Aktivität hinzufügen und danach Wert auf „ja“ set- 

zen.) 

Sind personenbezogene Daten enthalten? Ja 
(Ggf. Begründung zur späteren Nachvoll- 

ziehbarkeit ergänzen.) 

Ist der Informationsobjekttyp schützenswert im Nein 
Sinne von Betriebs- und Geschäftsgeheimnissen? 
Informationsobjekttyp Druckdaten 
Liegen die Informationen bereits vor Ausführung | Nein 
des Geschäftsprozesses vor? 

Falls die Informationen nicht bereits vor Ausfüh- Ja 
rung des Geschäftsprozesses vorliegen: Gibt es 

eine Aktivität, um diese zu sammeln? (Falls nein: 
Aktivität hinzufügen und danach Wert auf „ja“ set- 

zen.) 

Sind personenbezogene Daten enthalten? Ja 
(Ggf. Begründung zur späteren Nachvoll- 

ziehbarkeit ergänzen.) 

Ist der Informationsobjekttyp schützenswert im Nein 
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des Geschäftsprozesses vor? 


Informationsobjekttyp Geburtsdatum 
Liegen die Informationen bereits vor Ausführung | Nein 

des Geschäftsprozesses vor? 

Falls die Informationen nicht bereits vor Ausfüh- Ja 

rung des Geschäftsprozesses vorliegen: Gibt es 

eine Aktivität, um diese zu sammeln? (Falls nein: 

Aktivität hinzufügen und danach Wert auf „ja“ set- 

zen.) 

Sind personenbezogene Daten enthalten? Ja 

(Ggf. Begründung zur späteren Nachvoll- 

ziehbarkeit ergänzen.) 

Ist der Informationsobjekttyp schützenswert im Nein 

Sinne von Betriebs- und Geschäftsgeheimnissen? 
Informationsobjekttyp Schnittmuster Textil 
Liegen die Informationen bereits vor Ausführung | Ja 


Falls die Informationen nicht bereits vor Ausfüh- 
rung des Geschäftsprozesses vorliegen: Gibt es 


- (nicht relevant, weil die 
Informationen bereits 


(Ggf. Begründung zur späteren Nachvoll- 
ziehbarkeit ergänzen.) 


eine Aktivität, um diese zu sammeln? (Falls nein: vorher vorliegen) 
Aktivität hinzufügen und danach Wert auf „ja“ set- 

zen.) 

Sind personenbezogene Daten enthalten? Nein 


Ist der Informationsobjekttyp schützenswert im 
Sinne von Betriebs- und Geschäftsgeheimnissen? 


Ja - das Schnittmuster der 
einzelnen Textilien ist ein 
Geschäftsgeheimnis (ver- 

gleichbar mit den Leisten 

des Schusters) 


Die Informationen zu Schnittmuster Textil müssen also geschützt werden. Daher wird 


für den Zugriff auf diesen Informationsobjekttyp die Zuordnung zur Rolle „internes 


System“ gefordert. 
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Informationsobjekttyp Unternehmensrichtlinien 
des Herstellers 


Liegen die Informationen bereits vor Ausführung | Ja 
des Geschäftsprozesses vor? 


Falls die Informationen nicht bereits vor Ausfüh- - (nicht relevant, weil die 
rung des Geschäftsprozesses vorliegen: Gibt es Informationen bereits 
eine Aktivität, um diese zu sammeln? (Falls nein: vorher vorliegen) 
Aktivität hinzufügen und danach Wert auf „ja“ set- 

zen.) 

Sind personenbezogene Daten enthalten? Nein 


(Ggf. Begründung zur späteren Nachvoll- 
ziehbarkeit ergänzen.) 


Ist der Informationsobjekttyp schützenswert im Nein 
Sinne von Betriebs- und Geschäftsgeheimnissen? 


Analog sind die beteiligten Ressourcen aus den Aktionen zu extrahieren und deren 


Rollenzuordnung hinsichtlich der Informationsvertraulichkeit festzulegen: 


Ressource Rollen 

Designserver (Web) IT-Web verfügbar 
Kunde Kunde 

CRM-Server IT-Web verfügbar 
SEPA-Einzugsdienstleister Finanzdienstleister 
Dienstleister Bonitätsprüfung Finanzdienstleister 
Forderungssystem internes System 
Motivprüfer Mitarbeiter 
Produktionsserver internes System 
Produktionsmitarbeiter Mitarbeiter 
Druckmaschine Produktionsressource 
Versandmitarbeiter Mitarbeiter 
Versanddienstleister Logistikdienstleister 


Anschließend sind die Aktivitäten zu ordnen (hier ohne Darstellung), bevor ihre Mo- 


dellierung als Informationsvertraulichkeits- und Datenschutz-Netz erfolgt. Für die 
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7.3 Anwendungsbeispiel 


folgenden Modelle wird hierzu der Horus Business Modeler verwendet; daher wer- 
den zunächst die Informationsobjekttypen in Horus erfasst. Das Ergebnis ist in Abbil- 
dung 25 dargestellt. Ebenfalls ist das Ressourcenmodell zu übertragen. Danach kann 


das Informationsvertraulichkeits- und Datenschutz-Netz grafisch beschrieben wer- 


den. 
z H Bestellung PES gl - Kundendatensatz 
= <1..1> <1..n> | = 
<1.n> <1..n> <0..1> 
<...> <...> <...> 
<1..1> <1..1> <1..1> 
Z Pruckdaten „|E E-Mail-Adresse | | E Geburtsdatum 
1? ? 


z -Design -Bilddatei 


a „ Ynternehmensrichtlinien des Herstellers | „4 E Schnittmuster Textil 


5 
vertraulich. Zugriff nur für "internes System" ] 


Abbildung 25: Informationsobjekttypmodell zum Anwendungsbeispiel; modelliert mittels Horus. 
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# CRM-Server 


Interessent N E-Mail-Adres N E-Mailadresse N E-Mail-Adresse Š Kundendatensatz 
- 7] LA=fVertrapserfülung) ® at | = rtragserfüllung | > & Vertragserfüllung -m LA={Vertragserfültung} =- 
E-Mail-Adresse eingeben Bestätigungsmail senden Bestätigungs-E-Mail-Link klicken Konto eröffnen und Passwort vergeben 


Vartragserfülung 


8 Design 


-0 


Name, Geburtsdatum und Postadresse erfät leeres Design erzeugen 


Ñ Kundendatensatz 


& Kundendatensatz | Kundendatensatz 


Ñ Design 


Veronserung er] np Een 


Destgnserver (pe a eb) CRN 
8 Design f; 
-m 2} Vertragserfülung | -© > 
Druckdaten hochla fekdaten anord Desigrrspeichern und freigeben Größe-und Stück: 
Gestaltung Gestaltung 
Gosiaung 
8 Design-Bilddai 


& Design-Bilddatei Š Design-Bilddatei 


Design-Bilddatei 


Gestaltung 


Gestaltung 


tengatz 


# CRM-Server 


Jonitäts; T 


TA [Bonitätsprütun ; 
Bonitätsprütuna} LD={Bonitätsprütung} 


LA={Bonitätsprůtung} 4 p 


yzfBonitätsprůtuna} 
Bezahlen per Rechnung ` echnungsversand 


Vertragserfülung 
Vervrapserfülung 


ci 


Jruckdaten Motivprüf à Di ten 
Mobvprütu 
> — ee >@ 
uckdaten Motivpfüfung Textil bedrucken Textil Versand 


Herstellers 


Š Unternehmensrichtlinien des 


Abbildung 26: Bestellprozess als Informations- und Vertraulichkeits-Netz 


Die Simulation und ihre Auswertung des Informationsvertraulichkeits- und Daten- 
schutz-Netzes zeigen jedoch, dass der Prozess so noch nicht eingeführt werden kann. 


Folgende Probleme können in mehreren Zyklen erkannt werden: 
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7.3 Anwendungsbeispiel 


e Der Prozess blockiert vor der Transition „Generierung der Druckdaten“. Der 
Grund ist, dass die Ressource nicht zur Rolle „internes System“ gehört und 
daher die Informationsvertraulichkeit des Schnittmusters verletzt würde. 

e Außerdem zeigt eine genauere Betrachtung der Datenminimierung, dass 
das Geburtsdatum im Kundendatensatz nur für die Bonitätsprüfung im 


Falle der Rechnungszahlung benötigt wird. 


Der Prozess muss zurück in die erste Lebenszyklusphase („Analyse“) des Geschäfts- 
prozessmanagements (Abbildung 24), bis die Probleme gelöst werden. Der Prozess- 
designer kann mithilfe der Erkenntnisse aus der Simulationsauswertung überprüfen, 
wie der Prozess oder die Ressource so geändert werden kann, dass die Forderung 


eingehalten wird. Hier werden folgende Verbesserungen vorgenommen: 


e Der Prozessschritt wird von einer anderen Ressource (hier der Produk- 
tionsserver), die bereits über die entsprechende Rolle „internes Sys- 
tem“ verfügt, ausgeführt. So kann die Vertraulichkeit des 
Schnittmusters durch die Anforderung „internes System“ weiter ge- 
währleistet werden. 

e Außerdem wird das Geburtsdatum im veränderten Prozess nur im Falle 
einer Bonitätsprüfung unmittelbar zuvor erfasst. 

e Es wird in der Aktivität „Hochladen der Druckdaten“ eine Einwilligung 
für den Zweck „Gestaltung“ und eine für den Zweck „Motivprüfung“ ein- 


geholt. 
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7 Die PriCcon4BPM-Methode 


Die hinzugekommenen Aktivitäten sind: 


Aktivität 


Einwilligung Speichern und 
Verarbeiten der Druckdaten 


notwendige Informationsobjekttypen 


Kundendatensatz 


erzeugte Informationsobjekttypen 
falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


e Kundendatensatz: Protokollierung 
Einwilligung 


spezielle datenschutzrechtliche Ak- ja 
tivität (beispielsweise Einwilligung, 

Widerruf) 

beteiligte Ressourcen e Kunde 


e CRM-Server 


Aktivität Geburtsdatum eingeben 
notwendige Informationsobjekttypen Kundendatensatz 
erzeugte Informationsobjekttypen Geburtsdatum 


falls Informationsobjekttypen perso- 
nenbezogene Daten enthalten (siehe 
entsprechende Tabellen) - Festlegen 
des Zweckes der Verarbeitung dieser 
Informationsobjekttypen 


Kundendatensatz: Vertragserfüllung 


spezielle datenschutzrechtliche Ak- 
tivität (beispielsweise Einwilligung, 
Widerruf) 


nein 


beteiligte Ressourcen 


e CRM-Server 


Der umgestaltete Prozess ist dann erneut zu analysieren. In diesem Fall gibt es keine 


weiteren Schwierigkeiten, sodass der Prozess eingeführt werden kann. 
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8 Einordnung der 
PriCon4BPM-Methode 


In diesem Kapitel werden zunächst Anforderungen an den Umgang mit Informations- 
vertraulichkeit und Datenschutz in Unternehmen auf der Ebene des Geschäftspro- 
zessdesigns und Geschäftsprozessmanagements betrachtet und anschließend der 
eigene Ansatz sowie existierende Ansätze verwendeter Arbeiten mit diesen Anforde- 
rungen verglichen. Im Anschluss wird mithilfe des exemplarischen Einsatzes der 
Pricon4BPM-Methode durch unterschiedliche Personen in unterschiedlichen Szena- 
rien ein erster Indikator für die Anwendbarkeit der Methode beschrieben und ausge- 


wertet. 


8.1 Anforderungen 


Um Informationsvertraulichkeit und Datenschutz in Unternehmen auf der Ebene des 
Geschäftsprozessdesigns und Geschäftsprozessmanagements in geeigneter Weise zu 
unterstützen, sind verschiedene - teilweise bereits eingeführte - Anforderungen (Al 


bis A10) relevant: 


e A1: Methodische Unterstützung für das Design von Geschäftsprozessen Das 
Design von Geschäftsprozessen gestaltet sich für Fachanwender bereits 
ohne die systematische Betrachtung von Informationsvertraulichkeits- und 
Datenschutz-Aspekten als herausfordernd. Durch die genannten zusätzli- 
chen Aspekte nimmt die Komplexität weiter zu; somit steigt auch die Be- 
deutung einer methodischen Unterstützung. 

e A2:Informationsvertraulichkeit 

o  A2a: Möglichkeit, die Vertraulichkeitsgrade verschiedener Informa- 
tionsobjekttypen zu unterscheiden. Nicht alle Informationen in ei- 


ner Organisation sind vertraulich, und auch die vertraulichen 
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Informationen bedürfen nicht alle des gleichen Schutzes. Um eine 
sinnvolle, das heißt auch ökonomische, Prozessgestaltung zu er- 
möglichen, ist die Unterscheidung verschiedener Klassen der Infor- 
mationsvertraulichkeit notwendig. 

o  A2b: Eine klassenbasierte Informationsvertraulichkeit (A2a) ist 
notwendig, aber nicht hinreichend, um typische Sachverhalte abzu- 
bilden. Insbesondere, um den Kreis der Ressourcen, welche eine In- 
formation zur Kenntnis nehmen beziehungsweise verarbeiten darf, 
weiter zu beschränken, ist querliegend ein zusätzliches Kriterium 
erforderlich. Damit sollen neben der klassenbasierten Vertraulich- 
keit aufgabenbezogene Vertraulichkeitsregeln durchgesetzt wer- 
den. Eine Möglichkeit hierfür ist ein Rollenmodell. 

o A2c: Ob eine Ressource eine bestimmte Information zur Kenntnis 
nehmen darf, kann auch davon abhängen, welche Informationen 
ihr bereits bekannt sind. Mit der Berücksichtigung bereits bekann- 
ter Informationen kann verhindert werden, dass durch die Kombi- 
nation vieler einzelner nicht vertraulicher Informationen 
letztendlich doch eine vertrauliche Information gewonnen werden 
kann. 

o A2d: Ob eine Aktion durch eine Ressource ausgeführt werden darf, 
kann davon abhängen, welche Informationen die Ressource schon 
kennt. So kann beispielsweise verhindert werden, dass eine Infor- 
mation aus einem Beratungsprojekt mit Kunde A in ein Projekt mit 
Kunde B einfließt (Umsetzung des Chinese-Wall-Prinzips). 

e A3:Informationsobjekttypen 

o  A3a: Möglichkeit, Informationsobjekttypen im Geschäftsprozess zu 

berücksichtigen 
e Wenn Informationsvertraulichkeit untersucht werden soll, ist es zielfüh- 


rend, auch die Betrachtung von Informationsobjekttypen zu ermöglichen. 
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8.1 Anforderungen 


Dabei können Informationsobjekttypen im Prozess verarbeitet werden, das 
heißt Input für eine Aktivität sein und/oder Ergebnis einer Aktivität sein. 

o A3b: Möglichkeit, auf die Veränderung gespeicherter Informatio- 
nen (beispielsweise durch Entfernen sensibler Daten, Verschlüsse- 
lung oder Anonymisierung) mit einer Aktivität durch Änderung der 
Vertraulichkeit beziehungsweise der Berechtigungen zu reagieren 

A4: Möglichkeit, Ressourcen im Geschäftsprozess zu berücksichtigen Letzt- 
lich werden die Aktivitäten eines Geschäftsprozesses mithilfe von Ressour- 
cen erbracht. Da Letztere ggf. auch die verarbeiteten Informationen 
erhalten, ist es zielführend, ihre Mitwirkung im Prozess systematisch be- 
trachten zu Können. 

A5: Möglichkeit, den Kontrollfluss im Geschäftsprozess unabhängig aber 
auch mit integriertem Datenfluss abbilden zu können. 

A6: Die Modellierung muss die Kontrolle darüber ermöglichen, inwieweit 
ein Geschäftsprozess die Verarbeitungsgrundsätze der EU-DS-GVO beach- 
tet. Die Verarbeitungsgrundsätze sind: 

o A6a: Rechtmäßigkeit 

o  A6b: Verarbeitung nach Treu und Glauben 

o A6c: Transparenz 

A6d: Zweckbindung 
A6e: Datenminimierung 


A6f: Richtigkeit 


oO 0 © 


o  A6g: Speicherbegrenzung 


(@) 


A6h: Integrität und Vertraulichkeit 

o A6i: Rechenschaftspflicht 
A7: Darüber hinaus ist es wünschenswert, den Modellierer nicht nur bei der 
Darstellung von erarbeiteten Regeln zu unterstützen, sondern ihm auch be- 
reits Hilfe zu bieten, wenn es um die Erarbeitung dieser Regeln geht. 


A8: Aufdeckung missbräuchlicher Verwendung 
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e Lässt sich leicht erkennen, ob die Methode missbräuchlich verwendet 
wurde, um beispielsweise möglichst viele Daten zu erheben und die ent- 
sprechenden Rechtfertigungsgründe zu finden? 

e A9: Analyse und/oder Simulation 

e Bei komplexen Prozessen, oder wenn es eine Vielzahl von Prozessen zu be- 
trachten gilt, ist es nicht praktikabel, alle Fragen dadurch zuverlässig zu be- 
antworten, dass der Modellierer über die Kompetenz verfügt, Eigenschaften 
zu den modellierten Prozessen zu erheben. Daher ist eine Analyseunterstüt- 
zung beispielsweise durch eine Simulation und deren Auswertung notwen- 
dig. 

e A10: Unterstützung bei der Implementierung des Prozesses - beispiels- 
weise Transformation in BPEL oder Hilfe bei der Ableitung von Anforderun- 


gen an (Individual-) Softwaresysteme (beispielsweise durch entsprechende 


Modelle in UML) 


8.2 Eigene und verwandte Arbeiten 


Die Herausforderungen „Sicherheit“ beziehungsweise „Datenschutz“ in Geschäftspro- 
zessen werden auch von anderen Ansätzen in unterschiedlicher Art und Weise adres- 
siert. Diese Ansätze werden bei Alpers u. a. (Alpers u. a., 2018) und bei Alpers u. a. 
(Alpers, Pilipchuk, Oberweis & Reussner, 2019) identifiziert und vorgestellt!. Nach- 
folgend werden sie mit den dargestellten Anforderungen verglichen. In der letzten 


Spalte der Tabelle 6 wird zudem die PriCcon4BPM-Methode mit den Anforderungen 


verglichen. 


Beide Veröffentlichungen untersuchen existierende Literatur hinsichtlich vorhandener Ansätze primär 
zur Betrachtung von Datenschutz (aber auch zu IT-Sicherheit) in Geschäftsprozessen und bei der Im- 
plementierung von Unternehmenssoftware. Hier werden nur die für Geschäftsprozesse relevanten An- 
sätze weiter analysiert. 
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Tabelle 6: Vergleich verschiedener Ansätze hinsichtlich der Anforderungen (+ wird unterstützt; - wird 
nicht unterstützt) 


(Ac- (Atluri (Knorr, PriCon4BPM 
corsi & & 2001) 

Wonne- Huang, 

mann, 2000) 

2011) 


A1: methodische 
Unterstützung 


A2a: klassenbasierte Infor- 
mations-vertraulichkeit 


A2b: rollenbasierte Infor- 
mationsvertraulichkeit 


A2c: Aggregation von Infor- 
mationsobjekttypen 


A2d: prozessinstanz-über- 
greifende Kenntnisnahme 
von Informationen 


A3a: Informationsobjektty- 
pen mit Geschäftsprozess 
verknüpfen 


A3b: Anpassung der Infor- | 
mationsvertraulichkeit 


A4: Ressourcenverknüpfung 
A5: Kontrollfluss 
A6a: Rechtmäßigkeit 


A6b: Verarbeitung nach 
Treu und Glauben 


A6c: Transparenz 

A6d: Zweckbindung 

A6e: Datenminimierung 
A6f: Richtigkeit 

A6g: Speicherbegrenzung 


A6h: Integrität und Vertrau- | 
lichkeit 


A6i: Rechenschaftspflicht 
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A7: Unterstützung bei Re- - - - + 
gelerarbeitung 


A8: missbräuchliche Ver- + 5 s 2 
wendung 


A9: Analyse + - - + 


A1 plementierungs-un- - + - -2 
terstützung 


Wie dargestellt, setzt PriCon4BPM mit der Sprache der Informationsvertraulichkeits- 


und Datenschutz-Netze nicht alle Anforderungen um - stellt aber bezogen auf diese 
Anforderungen einen offensichtlichen Mehrwert gegenüber den verwandten Arbei- 
ten dar (diese haben teils hier nicht beschriebene Stärken für andere Anwendungs- 


fälle, wie beispielsweise die Modellierung von technischen Prozessen). 


8.3 Anwendbarkeit 


Die Sprache der Informationsvertraulichkeits- und Datenschutz-Netze sowie die 
Pricon4BPM-Methode wurden in der Anwendung durch verschiedene studentische 
Hilfskräfte initial erprobt. Dazu wurden diverse Beispielprozesse aus dem Handel mit 
Endkunden (beispielsweise eines Onlineshops für Schuhe) herangezogen. Anhand 
der Verwendung realer Prozesse (soweit diese durch die Darstellung des Unterneh- 
mens beziehungsweise eines Beispielkaufes erhoben werden konnten) lässt sich 
auch die Verwendbarkeit in realen Szenarien betrachten. Bei der Auswahl der Bei- 
spiele wurde ebenfalls darauf geachtet, dass auch Prozesse vorkommen, welche un- 
ternehmensübergreifend ausgeführt werden. Ein solches Beispiel war etwa durch 


das System gaxsys? - einer Onlinehandelsplattform für den Einzelhandel - gegeben. 


2 Im Rahmen dieser Arbeit wurden keine Konzepte zur Transformation entwickelt. Jedoch ist diese 
grundsätzlich vorgesehen und wird - als Idee - bei Alpers u. a. (Alpers, Pilipchuk, Oberweis & Reussner, 
2018) beschrieben. 

3 https://gaxsys.com/ 
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8.3 Anwendbarkeit 


In diesem Fall waren die Prozesse aufgrund einer studentischen Abschlussarbeit 


(Hemriti, 2011) bekannt. 


Es konnte gezeigt werden, dass PriCon4BPM auch durch Dritte (aufgrund der hier 
verfügbaren Beschreibung) angewendet werden kann. Die Sammlung von Aktivitäten 
vor der genaueren Erhebung von Daten zur jeweiligen Aktivität und vor der Anord- 
nung innerhalb des Ablaufmodells, wie sie die Pricon4BPM-Methode vorsieht, hat 


sich in diesen Anwendungsfällen bewährt. 


Zudem wurden im Rahmen eines Forschungsprojekt-Workshops mit wissenschaftli- 
chen Mitarbeitern zweier Forschungseinrichtungen sowie Mitarbeitern zweier In- 
dustriepartner einzelne Artefakte angewandt. Dabei wurden der Ablauf anhand eines 
bestehenden Prototyps aufgenommen und die verarbeiteten personenbezogenen Da- 
ten erfasst. Die verarbeiteten Daten wurden anschließend Zwecken zugewiesen, und 
es wurde jeweils ein Erlaubnistatbestand hierfür festgelegt. Eine Schwachstelle der 
Sicht der Geschäftsprozesse ist dabei aufgefallen, und dadurch wurde identifiziert, 
dass eine technische Sicht zu ergänzen ist. Konkret werden bei der Betrachtung der 
einzelnen Aktivitäten als benötigte Daten nur solche erfasst, die direkt dem Ge- 
schäftsprozess dienen, weil diese von den Geschäftsprozessdesignern so berichtet 
werden. Technische Daten, das heißt beispielsweise Verbindungsdaten wie eine IP- 
Adresse, die ggf. vom Webserver in Logs aufgezeichnet wird, wurden von Geschäfts- 
prozessdesignern nicht genannt, aber später bei dertechnischen Konzeption erkannt. 


Dies ist als Grenze der PriCon4BPM-Methode zu verstehen. 
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9 Fazit und Ausblick 


In diesem Kapitel wird zunächst ein Fazit zur Arbeit gezogen. Dazu werden die we- 
sentlichen Ergebnisse der Arbeit zusammengefasst und eingeordnet. Das Fazit 
schließt mit der Betrachtung der Grenzen des Ansatzes. Anschließend wird ein Aus- 


blick auf weiterführende Forschungsarbeiten gegeben. 


9.1 Fazit 


Bisherigen Ansätzen zur Betrachtung von Datenschutz und Informationsvertraulich- 
keit in Unternehmen fehlt es teilweise an einer dafür erweiterten Modellierungsspra- 
che und teilweise an der notwendigen allgemeinen Einsetzbarkeit aufgrund einer zu 
hohen Spezialisierung des Ansatzes. Ziel der vorliegenden Arbeit war es daher, so- 
wohl Sicherheit als auch Datenschutz bereits ab dem Entwurf bzw. ab der Überarbei- 
tung von bestehenden Geschäftsprozessmodellen systematisch zu unterstützen. Dazu 
wurde eine Beschränkung auf Informationsvertraulichkeit als Aspekt der Sicherheit 
und auf Zweckbindung und Datenminimierung als Aspekte des Datenschutzes vorge- 
nommen. Das Konzept wurde jedoch so entwickelt, dass keine neue Speziallösung für 
diese „Nischen“ geschaffen wurde, sondern dass es um weitere Aspekte wie beispiels- 
weise Integrität (als Aspekt von IT-Sicherheit) und Speicherbegrenzung (als Aspekt 


des Datenschutzes) erweitert werden kann. 


Als Basis für diesen Ansatz wurden als Modellierungssprache Petri-Netze verwendet, 
da diese sich aufgrund ihrer Formalisierung für präzise Analysen eignen, ihre grafi- 
sche Repräsentation gut verständlich ist und die Sprache weit verbreitet in Forschung 
und Praxis ist. So können die hier vorgestellten Erweiterungen bzgl. Sicherheit und 
Datenschutz ergänzend zu vielen bestehenden Möglichkeiten von Petri-Netzen ver- 
wendet werden. Aufgrund dieser Basis ist die Einsetzbarkeit in vielen Szenarien ge- 


geben. Der vorgestellte Ansatz bedarf der Unterscheidbarkeit von 
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Informationsobjekten, und auch dafür bieten höhere Petri-Netze (gefärbte Petri- 


Netze) die entsprechende Grundlage. 


Diese Grundlage wird von den im Rahmen dieser Dissertation entwickelten Informa- 
tionsvertraulichkeits- und Datenschutz-Netzen zur Modellierung von Informations- 
vertraulichkeit, Zweckbindung und Datenminimierung erweitert. Hierzu genügt die 
Sicht der Geschäftsprozesse auf ein Unternehmen alleine nicht aus; der Ansatz inte- 
griert daher zusätzlich die Sicht der Datenstruktur und die Sicht der Organisations- 
struktur. Die Verknüpfung verschiedener Sichten ist nicht vollständig neu, sie wird 
grundsätzlich auch bereits von sogenannten Modellierungssuiten unterstützt (zum 
Beispiel vom Horus Business Modeler). Dieses Prinzip wird hier aber für die neue, 
integrierende Modellsicht der Informationsvertraulichkeit und des Datenschutzes 
genutzt, und die Verbindung der entsprechenden, zugrunde liegenden Sichten wird 


formal definiert. 


Die spezifizierten Modellierungsmöglichkeiten für die Informationsvertraulichkeit 
eignen sich für einen praktischen Einsatz der Methode. Informationen können klassi- 
fiziert werden, insbesondere lässt sich durch Zuordnung zu einer Klasse ausdrücken, 
dass eine Information besonders sensibel ist und der Zugang zu ihr entsprechend 
stark begrenzt sein muss. Dies kann kombiniert werden mit rollenbasierten Berech- 
tigungen. Insbesondere kann bestimmt werden, dass eine Ressource eine bestimmte 
Rolle haben muss (oder mehrere), um eine Information erhalten zu dürfen. In der 
Kombination von beiden Restriktionen können viele Arten von Anforderungen mo- 
delliert werden. Dabei können auf der einen Seite sowohl statische Restriktionen 
bzgl. Informationsobjekttypen, d. h. für alle Informationsobjekte eines Typs, als auch 
dynamische Restriktionen (beispielsweise Veränderung der Informationsvertrau- 
lichkeit innerhalb eines Prozesses durch Änderung der Informationen im Informa- 
tionsobjekt wie bei der Kürzung der Kreditkartennummer auf die letzten 4 Stellen) 
abgebildet werden. Auf der anderen Seite können personelle und maschinelle Res- 


sourcen einzelnen informationsverarbeitenden Aktivitäten zugeordnet werden. 
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Dadurch lässt sich ausdrücken, welche Ressourcen ein Informationsobjekt während 


der Prozessausführung zur Kenntnis nehmen. 


Bezüglich des Datenschutzes wurden für zwei von insgesamt neun von der EU-DS- 
GVO in Artikel 5 aufgeführten Grundsätze des Datenschutzes Spracherweiterungen 
entwickelt. Diese sind vollständig kompatibel zur Erweiterung für Informationsver- 
traulichkeit, sodass die insgesamt drei Erweiterungen (Informationsvertraulichkeit, 
Zweckbindung, Datenminimierung) nicht nur isoliert, sondern auch in beliebigen 
Kombinationen verwendet werden können. Für den Grundsatz der Zweckbindung 
wurde es ermöglicht, Informationsobjekte mit legitimierten Verarbeitungszwecken 
zu verknüpfen. Dabei wird die Verknüpfung durch den Prozess selbst vorgenommen, 
sodass beispielsweise nach Einholen einer Einwilligung für einen bestimmten Zweck 
dieser mit dem Informationsobjekt verknüpft werden kann. Neben dem Erlaubnistat- 
bestand Einwilligung können aber natürlich auch Zwecke, die sich aus anderen Er- 
laubnistatbeständen ergeben, wie beispielsweise Verarbeitung aufgrund der 
Notwendigkeit zur Erfüllung eines Vertrages mit dem Betroffenen, verknüpft werden. 
Dabei ist es auch möglich, für wegfallende Zwecke (beispielsweise bei Widerruf der 
Einwilligung oder aufgrund ihrer Erledigung) die Verknüpfung wieder zu entfernen. 
Bei der Datenminimierung wird es im Rahmen der Modellierung ermöglicht, die Ak- 
tivitäten mit dem Bedarf an Daten zu verknüpfen. Die minimal notwendige Daten- 


menge für einen Prozess bzw. Pfad kann dann in der Analyse ermittelt werden. 


Dadurch wurde die Möglichkeit neu geschaffen, sowohl Informationsvertraulichkeit 
als auch Datenschutz in Geschäftsprozessmodellen systematisch auszudrücken. Die 
Informationsvertraulichkeits- und Datenschutz-Netze ermöglichen es, dass Ge- 
schäftsprozessverantwortliche, Experten für Anforderungen der IT-Sicherheit und 
Experten für den Datenschutz gemeinsam - in einer für alle verständlichen und ein- 
deutigen Sprache - einen Prozess definieren. Dies ist auch deshalb wichtig, weil ver- 
schiedene Personen die unterschiedlichen Aspekte verantworten und oft auch eine 


Governance-Funktion dafür ausüben. 
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Wenn Verantwortliche für mehrere Prozesse zuständig sind, reicht die eindeutige 
Darstellung durch Informationsvertraulichkeits- und Datenschutz-Netze alleine nicht 
aus. Sie müssen durch entsprechende Analyseregeln unterstützt werden. Dazu wur- 
den Schaltbedingungen zur Ablaufvertraulichkeit und zur Zweckbindung entwickelt. 
In beiden Fällen ist es möglich, Informationsvertraulichkeits- und Datenschutz-Netze 
zunächst ohne die zusätzlichen Restriktionen der Schaltregeln zu simulieren und an- 
schließend auszuwerten, welche Schaltfolgen aufgrund der neuen Restriktionen 
nicht mehr zulässig sind. Es ist ferner möglich zu analysieren, welche Ressourcen an 
einem Prozess beteiligt sein müssen (hinsichtlich ihrer Vertrauenswürdigkeitsklas- 
sen bzw. Rollenzugehörigkeiten), um einen Prozess ausführen zu können. Dadurch 
können die Auswirkungen der Restriktionen auf den Geschäftsprozess auch ökono- 
misch bewertet werden. Insbesondere, wenn verschiedene Prozessalternativen zur 
Erreichung eines Zieles zur Verfügung stehen, kann dieser Ansatz genutzt werden, 
um die für den jeweiligen Kontext passende Alternative auszuwählen. Insofern bietet 
dieser Ansatz den Verantwortlichen eine Entscheidungsunterstützung sowohl hin- 
sichtlich der Verwendbarkeit von Geschäftsprozessen (sind diese regelkonform, d. h. 
compliant?) als auch bei der Bewertung verschiedener regelkonformer Alternativen. 
Hinsichtlich der Datenminimierung wurde ein anderer Weg gewählt. Hier ist keine 
Erweiterung der Schaltregel erforderlich, sondern es kann für jede Schaltfolge der 
Bedarfan Daten ermittelt werden - durch die Verknüpfung der Bedarfe mit den schal- 
tenden Aktivitäten. Darauf aufbauend kann überprüft werden, ob nur benötigte Da- 


ten erhoben werden. 


Zu den Zielen gehörte ferner, die Anwendung der neuen Informationsvertraulich- 
keits- und Datenschutz-Netze und ihrer Analysemöglichkeiten durch eine geeignete 
Methode zu unterstützen, bzw. aufbauend auf der Sprache und den Analysemöglich- 
keiten eine entsprechende Methode zu entwickeln. Daher wurde die PriCon4BPM- 
Methode als Anpassung existierender Konzepte zum Geschäftsprozessmanagement 
entwickelt. Durch das beschriebene planmäßige Vorgehen werden Modellierer und 


Verantwortliche angeleitet, die Möglichkeiten von Informationsvertraulichkeits- und 
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Datenschutznetzen für ganz unterschiedliche Geschäftsprozesse zu nutzen, um Infor- 
mationsvertraulichkeit und Datenschutz umzusetzen bzw. weiter zu fördern. Die Me- 
thodenbeschreibung verdeutlicht auch, dass der Ansatz die Phasen „Design und 
Modellierung“ und „Simulation und Auswertung“ verändert und die vorangehende 
Analysephase erweitert. Die Implementierungsphase stand nicht im Fokus dieser Ar- 


beit. 


Eine Beschränkung des vorgestellten Ansatzes ist es, dass davon ausgegangen wird, 
dass die jeweiligen Verantwortungsträger bzw. Organisationen ein Interesse daran 
haben, Datenschutz und Informationsvertraulichkeit umzusetzen, und dass sie die 
Sprache und Methode nicht dazu nutzen wollen, um beispielsweise möglichst weit- 
reichende Verarbeitungen personenbezogener Daten zu rechtfertigen. In letzterem 
Sinne geht der Ansatz von wohlwollenden Organisationen und Verantwortungsträ- 


gern aus. 


Der Ansatz bietet keine Unterstützung bei der Bewertung spezifischer technischer 
Verfahren. Wenn beispielsweise eine Aktivität zur Anonymisierung von personenbe- 
zogenen Daten modelliert wird und im Folgenden die Eigenschaft, die angibt, ob es 
sich um ein personenbezogenes Datum handelt, auf „false“ gesetzt wird, dann kann 
der Ansatz keine geeigneten Verfahren oder Anonymisierungsmaßstäbe vorschlagen. 
Die Umsetzung der einzelnen Aktivitäten - und in dem Beispiel auch die Auswahl und 
richtige Parametrisierung eines entsprechenden Algorithmus - bleibt Aufgabe der je- 


weiligen Softwareentwicklung einschließlich der Auswahl eventueller Drittsysteme. 


Der Ansatz betrachtet auch keine Wechselwirkungen zwischen verschiedenen In- 
stanzen (Ausführungen) eines Prozesses. So kann mit dem Ansatz beispielsweise 
nicht direkt ausgedrückt werden, dass eine Information aus Prozessinstanz 1 zwar 
zur Kenntnis genommen werden darf, dass dann aber ein Mitwirken an Instanz 2 
nicht möglich ist. Zwar könnte eine Ressource durch eine entsprechende Rolle auf 
eine bestimmte Instanz beschränkt werden, aber mangels dynamischer Rollenzuwei- 


sung zu Ressourcen kann dies noch nicht zur Laufzeit realisiert werden. Auch sind im 
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Ansatz aktuell keine Regeln vorgesehen, die eine Beteiligung ausschließen, wenn eine 


bestimmte Rolle zugewiesen ist. 


Grenzen ergeben sich auch hinsichtlich der Bedrohungen. Betrachtet man die Bedro- 
hungen aus Tabelle 1, so werden davon nur Offenlegung schützenswerter Informati- 
onen (G19, zum Beispiel aufgrund von Fahrlässigkeit), Verstoß gegen Gesetze oder 
Regelungen (G29), fehlerhafte Nutzung oder Administration von Geräten oder Syste- 
men (G31, Wahrscheinlichkeit reduziert durch prozessbasierte, definierte Nutzung) 
und Missbrauch personenbezogener Daten (G38) durch den Ansatz direkt adressiert. 
Weitere auf Vertraulichkeit wirkende Bedrohungen wie beispielsweise das Abfangen 
kompromittierender Strahlung (G13) oder der Diebstahl von Geräten (G16) werden 
nicht adressiert. Auch daher kann der prozessbezogene Ansatz zur Umsetzung von 
Informationsvertraulichkeit nur ein Aspekt eines ganzheitlichen Sicherheitskonzep- 


tes sein. 


9.2 Ausblick 


Die neu entwickelten Informationsvertraulichkeits- und Datenschutz-Netze können 
auch um weitere Aspekte des Datenschutzes ergänzt werden. Aufgrund der Konzep- 
tion der Sprache ist es möglich, dies durch kompatible zusätzliche Spracherweiterun- 
gen zu realisieren und anschließend die PriCon4BPM-Methode entsprechend 
anzupassen. Die konkrete Erweiterung ist abhängig vom jeweiligen Aspekt. Für das 
Beispiel der Rechtmäßigkeit wäre es ggf. zielführend, den Erlaubnistatbestand bzw. 
die Erlaubnistatbestände mit einem Prozessmodell bzw. den betreffenden Teilen zu 
verknüpfen und zu prüfen, ob das Ziel des Prozesses bzw. Subprozesses zum Erlaub- 
nistatbestand passt. Bezüglich des Grundsatzes der Rechenschaftspflicht könnte un- 
tersucht werden, inwiefern durch die (ggf. erweiterten) Datenschutz-Netze die 
Informationspflicht nach Art. 5 Abs. 2 EU-DSG-VO erfüllt bzw. teilweise erfüllt werden 
kann. Es ist zu vermuten, dass ein entsprechend aufbereitetes Modell hier für die be- 


troffenen Informationen dienlich sein kann. 
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Eine Aufgabe für weiterführende Arbeiten ist schließlich auch die komfortable Werk- 
zeugunterstützung, um den praktischen Einsatz der Methode zu verbessern. Hier 
kann der Ansatz der mircoserviceorientierten Geschäftsprozessmodellierung und 
Analyse, wie er in Alpers u.a. (Alpers u. a., 2015) beschrieben ist, verwendet werden. 
Insbesondere Dienste für die Analyse von Informationsvertraulichkeits- und Daten- 
schutz-Netzen können so umgesetzt und in verschiedene Editoren eingebunden wer- 
den. Hierzu wurde im Rahmen einer vom Autor der Arbeit betreuten Masterarbeit 
(Stolz, 2018) ein Ansatz erfolgreich getestet, welcher eine Analysekomponente für 
Petri-Netze bereitstellt!, die auf der bis 1993 in der Programmiersprache Prolog am 
Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB) an 
der damaligen Universität Karlsruhe (TH) entwickelten Software PASIPP (Oberweis 
u. a., 1991) aufbaut. Auf PASIPP basierend kann ein Dienst weiterentwickelt und in 
das Prozessmodellierungswerkzeug Horus (aber auch in andere Modellierungssui- 


ten) integriert werden. 


Der Ansatz dieser Arbeit hilft dem Modellierer nicht dabei, Begriffe aus dem Daten- 
schutzrecht wie personenbezogene Daten im jeweiligen Kontext korrekt auszulegen 
und anzuwenden. Dies ist schon deshalb schwierig, weil die Auslegung auch von Ex- 
perten nicht für jeden Kontext einheitlich ist - insbesondere, wenn nicht die strengste 
(d.h. auch risikoaverseste) Auslegung angewendet werden soll, sondern eine zwar 
auch rechtskonforme, aber für einen Kontext besser passende Lösung gesucht wird. 
Hier kann das Informationsvertraulichkeits- und Datenschutz-Netz wie schon erör- 
tert dazu verwendet werden, auch juristische Experten in die Diskussion einzubezie- 
hen. In weiterführender Forschung ist zu prüfen, wie die Rechtsbegriffe durch ein 
Modell so beschrieben werden können, dass die Auslegung für Anwendungsfälle er- 
leichtert werden kann. Am FZI Forschungszentrum Informatik läuft bereits ein ent- 


sprechendes Realisierungsvorhaben. 


Der Ansatz ist dazu geeignet, das Vertrauen in Geschäftsprozesse zu fördern, bei de- 


nen diese von den jeweiligen Verantwortlichen wohlwollend und unter Einsatz von 


1 https://github.com/fzi-forschungszentrum-informatik/PasippMicroservice 
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Verstand und Empathie? zu den von der Datenverarbeitung bzw. Geschäftsprozess- 
ausführung Betroffenen entworfen werden. Allerdings wird nicht überwacht, ob der 
Prozess, wie er entworfen wurde, auch implementiert wird. Hierzu könnten aufge- 
zeichnete Prozesslogs mit dem spezifizierten Prozess verglichen werden, um einen 
generellen Implementierungsfehler (d.h. die Abweichung von vielen Ausführungs- 
instanzen) aufzudecken (vgl. Mauser & Eggendorfer, 2017; Accorsi, Ullrich & van der 
Aalst, 2012). Dazu muss der Verstoß gegen das Prozessdesign aber bereits eingetre- 
ten sein, was evtl. bereits Schaden verursacht hat. Ein anderer Ansatz besteht darin, 
die korrekte Implementierung zu fördern. Dies kann von der Erhöhung des Modell- 
verständnisses für Softwareentwickler durch Schulungen oder durch Transformation 
in eine ihnen geläufige Modellierungssprache wie UML geschehen. Ausgehend von 
dem UML-Modell könnten aber auch Ansätze modellgetriebener Softwareentwick- 
lung weiterverfolgt werden (Alpers u. a., 2018). Dies würde auch das Vertrauen in die 
korrekte Implementierung - sowohl bei den Verantwortlichen als auch bei den Nut- 


zern - fördern. 


Die fehlerfreie Definition von Geschäftsprozessen ist besonders wichtig, da bei einer 
unzutreffenden Definition eine Vielzahl von Instanzen fehlerhaft durchgeführt wird. 
Wenn die Geschäftsprozessdefinition Regeln der IT-Sicherheit und des Datenschut- 
zes fehlerhaft abbildet, wird also eine Vielzahl von Instanzen regelwidrig durchge- 
führt. Wenn Geschäftsprozesse automatisiert durchgeführt werden, sinkt zudem die 
Wahrscheinlichkeit, dass ein prozessbeteiligter Mensch den Fehler entdeckt und ent- 
sprechend reagieren kann. Durch die zunehmend automatisierte Ausführung von Ge- 
schäftsprozessen aufgrund verschiedener Entwicklungen wie dem zunehmenden 
Einsatz prozessgetriebener Unternehmenssoftware oder der automatisierten Bedie- 
nung vorhandener Unternehmenssoftware durch Softwareroboter (Aguirre & Rodri- 
guez, 2017) wird die Bedeutung von Vertrauen in die korrekte Definition und 


Ausführung weiter zunehmen. 


2 Empathie der Verantwortlichen zu den Betroffenen ist notwendig, damit die Verantwortlichen sich für 
Lösungen entscheiden, welche die Rechte und Interessen der Betroffenen wahren. 
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Es ist sinnvoll, Datenschutz und Vertraulichkeit nicht nur rein 
technisch zu betrachten, sondern diese Anforderungen in Organisa- 
tionen bereits frühzeitig beim Entwurf von Geschäftsprozessen zu 
berücksichtigen. Um Prozessmodellierer und -verantwortliche dabei 
zu unterstützen, wurden als graphisches Darstellungsmittel Informa- 
tionsvertraulichkeits- und Datenschutz-Netze entwickelt. Diese 
erweiterten Petri-Netze ermöglichen es, Vertraulichkeit und Aspekte 
des Datenschutzes innerhalb von Geschäftsprozessmodellen systema- 
tisch zu betrachten. Dazu wird die Geschäftsprozesssicht insbesondere 
mit der Organisationsstruktursicht und der Datenstruktursicht zu einer 
integrierten Modellsicht verknüpft. Vertraulichkeit wird im Zu- 
sammenhang mit den an der Geschäftsprozessausführung beteiligten 
Ressourcen (Organisationsstruktur) und den zur Ausführung benötigten 
Daten (Datenstruktun) in Informationsvertraulichkeits- und Datenschutz- 
Netzen entweder klassen- oder rollenbasiert betrachtet. /weckbindung 
und Datenminimierung als spezielle Aspekte des Datenschutzes können 
mittels der Informationsvertraulichkeits- und Datenschutz-Netze eben- 
falls beschrieben werden. Um die Anwendung zu unterstützen, wird die 
neue PriGon4BPM-Methode (Privacy & Confidentiality for Business 
Process Management) vorgeschlagen. Dabei werden die Schritte zur 
Erstellung der Informationsvertraulichkeits- und Datenschutz-Netze de- 
tailliert beschrieben. Zusätzlich wird eine durchgängige Vorgehensweise 
von der Modellierung bis zur Entscheidung (beispielsweise bezüglich 
Prozessalternativen) vorgestellt. 
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